我是PHP新手:)。我正在用PHP创建一个REST API,供移动客户端(Android和IOS)使用。目前,PHP网站(yii)允许用户使用用户名和密码登录(散列并存储在数据库中)。我想实现这一点的方式是,我可以有一个登录REST api调用,用于对用户进行身份验证并生成一个令牌(一些随机数或会话ID)并将该令牌的散列发送给客户端。然后,客户端可以每次在REST api调用时将该标记传递给http标头,并且api方法将在每次调用时验证这一点?REST API的验证令牌PHP中的
现在,
- 我想知道是否有这种方法的任何缺点?
- 也有任何PHP的例子如何做到这一点?
- 此令牌如何确保安全性?有人可以嗅探这个令牌并将它发送到请求中,并且服务器仍然允许它吗?或者假设我随着时间过期令牌,手机应该再次进行认证以获得新的令牌吗?
好的。我如何在API中传递会话ID?有没有在PHP的代码示例? – appcoder
那么你的PHP API应用程序已经能够创建会话...重要的是,使用API的应用程序能够使用会话ID引用cookie。使用CURL请求,您可以使用cookie jar。谈到这里http://stackoverflow.com/questions/13020404/keeping-session-alive-with-curl-and-php –
我可以使用我的移动客户端的HTTP_COOKIE头在每个请求中传递会话ID吗? – appcoder