php后台对接ios,安卓,API接口设计和实践完全攻略,涨薪必备技能

关于接口设计要说的东西很多,可能写一个系列都可以,vsd图都得画很多张,但是由于个人时间和精力有限,所有有些东西后面再补充
 
说道接口设计第一反应就是restful api 请理解一点,这个只是设计指导思想,也就是设计风格 ,比如你需要遵循这些原则

原则条件
REST 指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful。
Web 应用程序最重要的 REST 原则是,客户端和服务器之间的交互在请求之间是无状态的。从客户端到服务器的每个请求都必须包含理解请求所必需的信息。如果服务器在请求之间的任何时间点重启,客户端不会得到通知。此外,无状态请求可以由任何可用服务器回答,这十分适合云计算之类的环境。客户端可以缓存数据以改进性能。
在服务器端,应用程序状态和功能可以分为各种资源。资源是一个有趣的概念实体,它向客户端公开。资源的例子有:应用程序对象、数据库记录、算法等等。每个资源都使用 URI (Universal Resource Identifier) 得到一个唯一的地址。所有资源都共享统一的接口,以便在客户端和服务器之间传输状态。使用的是标准的 HTTP 方法,比如 GET、PUT、POST 和 DELETE。Hypermedia 是应用程序状态的引擎,资源表示通过超链接互联。

REST这个词,是Roy Thomas Fielding在他2000年的博士论文中提出的

但是规则是很早之前的人设计的,但是it这个行业日新月异,业务结构复杂,变化性大,所有,你可以选择遵守,也是适当改变,方便开发,比如现在移动化发展快速,app接口,微信网页接口等

第一点要做的就是HTTPS  自2017年1月1号,开始新的ios都需要是https才能访问,版本好像是10.0系列开始,并且满足 苹果ATS安全

如果您的APP如果仍采用HTTP传输,那么,在Apple Store中您的APP将不再能被用户下载使用 ,所以,呵呵

 

场景分析和理论

 

 首先说下几种运用场景:

1,后台服务端->app客户端 ios 安卓

一般来说单向信任加密解密就可以,客户端向服务器请求进行数据加密,发送服务器端进行解密,然后返回数据,

但是请求返回的数据是不加密的,信任是单向的,有时候也需要加密就是双向加密,效率来说就比较麻烦和文件返回用

base64进行传输,处理效率也比较差,特别是服务器端还有专门的文件服务器的,代码层级处理起来就比较麻烦,效率也

很差,做过ios和java的同学应该比较了解,直接作为文件传输,php文件上传的时候,会先把文件上传系统的临时文件目录

而不是先去验证权限在上传,全局变量$_FILE php在上传到其他文件服务器,或者移动到文件目录,如果客户端

没有做验证,或者允许大文件上传,就会存在temp文件夹爆炸,服务器宕机的危险,对于中小项目来说,不是被人恶意攻击

问题不大,这种情况下需要使用base64传输就可以先验证在判断是不是在做处理,然后就是在服务器验证时候加上针对每

个接入端标识存储,线上好处理具体问题来自哪些方面的接口,可以比较好的定位

 

 

2,后台服务端->html5 微信 浏览器

因为现在狠多为了一种开发多处使用,必须现在流行的html5混合app开发简单方便,如果不是做游戏,性能一般app足够

使用,不要被原生性能更好的屁话左右,为了适配机器app需要做无数处理,麻烦的很,而且对于小公司人力成本是巨大的,

而且不同语言的数据对接本身就是时间消耗,精力消耗,各种未知bug的调试,特别是第一次做个的人,有些东西在不同语言

显示方式根本不一样,比如 一个数组(php)

key=>0,name=>z key在ios解析的时候key不显示,安卓key显示NULL,呵呵,所以一些细节很麻烦,但是也并不是原生的

不好,只是就现在的技术潮流来说是这样,比如如果一些ios新特性,在app的混合开发框架肯定不会那么及时的更新api接口

,比如hbuilder,做的HTML5+,整体性能也肯定没有object-c好,swift个人没什么了解,所以不清楚,所以有利有弊,需要技

术经理,公司,开发人员来衡量。

 htnl5页面在微信和浏览器里面需要的快速,如果每次都需要验证数据加密,机密,效率首先需要考虑,而且js处理session

和cookies,在页面不太好处理,很多现在很多都是纯js去渲染数据,如果使用php来混合编写也是可以的,使用php来模拟

数据加密,请求接口,这样写比较容易,但是无法再混合app中使用,如果你只是单独开发手机浏览器和微信里面来使用php

混写是没有问题的,如果是页面需要纯js处理数据的话么就需要注意我说的上面的问题

数据认证的话,可以简单做用户登录,比如微信自动等,根据name和password,salt计算一个唯一值作为token去数据库校验,

接口请求的时候js发送请求的时候校验即可

 

3,文件服务器 特殊处理

很多项目到了后期都需要考虑单独的文件服务器的问题,比如我前面博客说道的,挂在nfs文件服务,或者文件服务器接口

文件服务器处理起来比较麻烦,但是对于大的项目来说也是必要的,所有服务都需要接口化,在接口认证里面进行权限和

资源分配,这就是SOA的过程,比如使用文件接口,在富文本编辑器上传文件的时候,就需要改造富文本编辑器的文件上传

所以有点麻烦,uedit修改文件上传路劲,支持api文件接口 我这篇博客就有介绍,文件服务器也有好处,就是可以规避一部

分文件安全问题

4,后台服务端->游戏客户端

 这个和html有些相似,又有些不同,一个是为了高效数据传输,保持socket稳定,或者数据传输的速度,还有就是保证

数据不被篡改,比如游戏作弊,考虑的东西比较多,还有比如一局游戏某个用户断线了,多久T掉,保证游戏继续进行下去,接口里面

需要处理的东西很多,因为游戏需要更新的状态很多,合理的设计表结构也是无比重要,比如一个buff就增加一个字段的话,一个玩家状态

对应就有几百个字段,传输数据当然就会大,一次更新那么数据,速度和性能就得再次考虑

(后面更新)

 

 

 API接口理论设计实践

1, 加密解密

使用https的 公钥 私钥 加密解密,但是其实也是发送数据不加密,只是通过签名pkf crt来加密和验证签名的正确性,

很多借口采用的就是这种设计,但是数据安全性,我不是很理解,发送的是明文数据,木马程序可以很轻松的监听,

这种单向信任的明文数据发送验证借口,在浏览器访问的时候是有自带https的公钥,但是php curl的是可以不带证书访问的,

所有依然是接口里面是明文发送出去的,(如果这段有错,请反馈)

 

2接口理论

现在普遍采用3des加密,只是因为方便,现在都出都有php ios java的通用demo方便,不方便的地方也有很多,发送的就是加密的数据,

虽然是对称加密解密,单向信任,但是也是根据单个接口的账号密码进行二次验证,如果你key和sercet,被别人知道,也是可以解密出加密发送的数据,如

果想使用接口获取数据,还是得有该用的用户名和秘密的,当然现在流行的手机号码+手机短信验证码也是可以,但是服务器对应实现才可以,而且

最好ios和安卓开发框架需要支持session,cookies,https等为好,后面会有说明

推荐框架,但是需要支持这个多个协议

AFNetworking  ios
 OkGo  安卓  

 3,数据传输格式

json xml  数据流  二进制 等等,但是数据解析方便来说json还是最方便的。建议json,主要是怕麻烦

 

4,支持请求方法POST GET 文件上传 

 麻烦一点就是文件上传,base64上传,或者直接文件上传,但是临时文件会出现上面说的系统临时文件爆了情况

 

5,兼容旧代码进行模拟登陆session cookies ,权限兼容

 其他很多系统都需要去旧的rabc的里面去获取数据,模拟登录的时候,就会涉及到权限问题,当然你也可以单独剥离出来

这些功能,时间花的也比较长,特别是需要在客户端也要实现一定的权限的时候就麻烦了,你单独剥离出来,你又要去模拟

权限,当然,最好办法就是,接口对应的账号里面也去实现一套RBAC,这样后续开发人员就轻松了,看起来有点蛋疼,但是是比较

实际的问题,这个问题如果在设计接口的时候没有就考虑进去的话,就在对接一些旧功能就忒麻烦,特别是没有独立方法化的代码时候,

耦合度大,改起来麻烦的要死

 

6,目前接口优缺点。另一种接口设计方式

 这个接口是所有终端同一个加密的秘钥,也就说一个终端秘钥丢失,就是可以获得其他终端发送的数据进行解密,获得发送数据,

所以中小项目,或者某个公司内部项目使用还不错,但是大项目api化的数据安全性就不是很好

另一种接口设计,就是每个终端都是自己使用的8位key和32位的 value 然后加密还是下面的加密方法,但是在吧user_key直接明文也带过

来先把数据库的这个用户的key 和value ,先解密,后吧对比解密数据里面的value 对比一样就通过,去处理数据,就像一般的

用户名密码登录校验一样,或者你想更安全就是md5('value .key') 去对比,全部不明文发送过来的数据

如果循环数据库的key 和value去解密,效率太低,app接口需要就速度和效率

 

 

7,一些细节问题

 

$_REQUEST['header'] 为什么要这样获取数据,因为在ios和安卓,字典必须是要key和vaule的,所以兼容
urldecode建议不要使用这对函数 使用

rawurldecode(str);rawurlencode(str);

会出现+ 和%2D 空格,多种语言交互的时候这样的问题很多,所以要注意,特别是对接接口的时候,签名的时候

 

签名加密算法:sha1 长度40 (因为语言可能导致生产长度不一样)


复制代码

复制代码
 foreach (unserialize($res['contract']['idcards_file_ids']) as $k => $v) {
                
             $rr['user_idcard_data'][$k]['file_paths'] = app_standard_path_new($file_path['file_path']);
                    $rr['user_idcard_data'][$k]['file_id'] = $v['file_id'];
                    $rr['user_idcard_data'][$k]['name'] = $v['name'];
               
            }
        }

复制代码

如果把 $rr['user_idcard_data'] json传给app端,他就是个字典不是数组,对于ios和安卓来说

复制代码
"customer_idcard_file": {
            "1": {
                "file_paths": "http://app.xinyzx.com/Uploads/personal_app_ios/201704/11/58ec42d23c090.jpeg",
                "file_id": "717892",
                "name": "work_card"
            }
        },
复制代码

 

rr[′useridcarddata′]=arrayvalues(rr['user_idcard_data']);

 

需要处理成以下格式

复制代码
"file_id":[
            {
                "file_paths":"58ec42d22f310.jpeg",
                "file_id":"717891",
                "name":"bank_card1"
            },
            {
                "file_paths":"58ec42d23c090.jpeg",
                "file_id":"717892",
                "name":"work_card"
            }
        ]
复制代码

 

 
复制代码

 

demo实例代码,测试代码

本代码基于tp3.1.2 目前不提供完整测试类,后面有时间在更新

目前只支持 key 8位 secket 32位,支持更多位数的后续跟新

Crypt3Des.class.php  加密算法 3DES

复制代码
<?php

class Crypt3Des {

    private $key = "Symetric";
    private $iv = "Symetric";

    /**
    * 构造,传递二个已经进行base64_encode的KEY与IV
    *
    * @param string $key
    * @param string $iv
    */

    function __construct($key, $iv) {
        if (empty($key) || empty($iv)) {
            echo 'key and iv is not valid';
            exit();
        }
        $this->key = $key;
        $this->iv = $iv;
    }

    /**
    *加密
    * @param  $value
    * @return
    */
    public function encrypt($value) {
        $td = mcrypt_module_open(MCRYPT_3DES, '', MCRYPT_MODE_ECB, '');
        $iv = base64_decode($this->iv);
        $value = $this->PaddingPKCS7($value);
        $key = base64_decode($this->key);
        mcrypt_generic_init($td, $key, $iv);
        $ret = base64_encode(mcrypt_generic($td, $value));
        mcrypt_generic_deinit($td);
        mcrypt_module_close($td);
        return $ret;
    }

    /**
    *解密
    * @param  $value
    * @return
    */
    public function decrypt($value) {
        $td = mcrypt_module_open(MCRYPT_3DES, '', MCRYPT_MODE_ECB, '');
        $iv = base64_decode($this->iv);
        $key = base64_decode($this->key);
        mcrypt_generic_init($td, $key, $iv);
        $ret = trim(mdecrypt_generic($td, base64_decode($value)));
        $ret = $this->UnPaddingPKCS7($ret);
        mcrypt_generic_deinit($td);
        mcrypt_module_close($td);
        return $ret;
    }

    private function PaddingPKCS7($data) {
        $block_size = mcrypt_get_block_size('tripledes', 'cbc');
        $padding_char = $block_size - (strlen($data) % $block_size);
        $data .= str_repeat(chr($padding_char), $padding_char);
        return $data;
    }

    private function UnPaddingPKCS7($text) {
        $pad = ord($text{strlen($text) - 1});
        if ($pad > strlen($text)) {
            return false;
        }

        if (strspn($text, chr($pad), strlen($text) - $pad) != $pad) {
            return false;
        }
        return substr($text, 0, - 1 * $pad);
    }

}
复制代码

 

BaseAction.class.php

复制代码
<?php

//API父类
class BaseAction extends Action {

    protected $user_id;
    protected $appkey;
    protected $secret;
    protected $appIDname; //接入用户来源标示,可能在用户数据录入的时候会用到

    public function _initialize() {



        myLog($_REQUEST, 'api_log');
        if (empty($_REQUEST) && empty($_FILES)) {
            $this->response(array('code' => 0, 'msg' => '发送数据不能为空'), 'json', 200);
        }
        $data = $_REQUEST['header'];

        if (empty($data)) {
            $data = urldecode(file_get_contents('php://input'));  //兼容php发送数据接收 和 php模拟测试,正式不一定

            if (empty($data)) {
                $this->response(array('code' => 0, 'msg' => '发送数据不能为空'), 'json', 200);
            }
        }



        $data = $this->crypt3des()->decrypt($data);
        myLog($data, 'api_log');
        $_POST = json_decode($data, true);
        //api接口日志记录--打印发送数据
        myLog($_POST, 'api_log');

        $this->origin = $this->check_sign($_POST);
    }

    function crypt3des() {
        import('App.ORG.Crypt3Des');
        $crypt3des = new Crypt3Des(base64_encode(C('crypt_key')), base64_encode(C('crypt_iv')));
        return $crypt3des;
    }

    function _empty() {
        $this->response(array('code' => 0, 'msg' => '_empty,非法操作'), 'json', 200);
    }

    protected function check_sign($data, $expires = 300) {
        $params = array();
        $params['timestamp'] = $data['timestamp'];
        if (time() - strtotime($params['timestamp']) > $expires) {
            $this->response(array('code' => 0, 'msg' => '签名已过期'), 'json', 200);
        }
        //数据库查询校验相关用户数据
        $where['app_api_name'] = $data['appkey'];
        $res = M('app_api_partner')->where($where)->find();

        if (empty($res)) {
            $this->response(array('code' => 0, 'msg' => 'appkey错误'), 'json', 200);
        }
        if ($res['api_status'] !== '0') {
            $this->response(array('code' => 0, 'msg' => '目前api账户不可用'), 'json', 200);
        }
        if ($res['app_api_key'] !== $data['secret']) {
            $this->response(array('code' => 0, 'msg' => '通信密钥错误'), 'json', 200);
        }
        $params['appkey'] = $res['app_api_name'];
        $params['secret'] = $res['app_api_key'];

        $sign = $this->data_auth_sign($params);

//        $this->response(array('msg' => $params, 'code' => 0), 'json', 200);
        if ($sign !== $data['sign']) {
            $this->response(array('code' => 0, 'msg' => '签名错误'), 'json', 200);
        } else {
             myLog('签名解析正确', 'api_log');
            $this->appIDname = $res['app_api_mark']; //返回接入的使用的名称
        }

    }


    private function data_auth_sign($data) {
        if (!is_array($data)) {
            $data = (array) $data;
        }
        ksort($data);
        $param = array();
        foreach ($data as $key => $val) {
            $param[] = $key . "=" . $val;
        }
        $param = join("&", $param);
        $sign = sha1($param);
        return $sign;
    }

}


C 获取系统配置数据

myLog 打印系统日志
复制代码
function myLog($str, $flag = 'default') {
    //if( APP_DEBUG != true )return '';
    is_array($str) && $str = print_r($str, true);
    $dir = SYSTEM_ROOT . '/Uploads/logs/' . $flag . '/';

    !is_dir($dir) && @mkdir($dir, 0755, true);
    $file = $dir . date('Ymd') . '.log.txt';
    $fp = fopen($file, 'a');
    if (flock($fp, LOCK_EX)) {
        $content = "[" . date('Y-m-d H:i:s') . "]\r\n";
        $content .= $str . "\r\n\r\n";
        fwrite($fp, $content);
        flock($fp, LOCK_UN);
        fclose($fp);
        return true;
    } else {
        fclose($fp);
        return false;
    }
}
复制代码

 

随机生成一个8位随机字符串

复制代码
function get_rand_str($len) {
        $chars = array(
            'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v',
            'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R',
            'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9'
        );
        $charsLen = count($chars) - 1;
        shuffle($chars);
        $output = "";
        for ($i = 0; $i < $len; $i++) {
            $output .= $chars[mt_rand(0, $charsLen)];
        }
        return $output;
    }
复制代码

 

 
 
复制代码

 

 

 

 集成这个父控制就可以写你自己的代码了,下面是一个实力和一个接口测试的demo

 

复制代码
<?php

//客户信息相关api接口类

class CustomerAction extends BaseAction {

   
    public function test() {

        $this->response(array('code' => 1, 'msg' => '测试成功', 'data' => $data), 'json', 200);
    }

}
复制代码

 

测试接口的demo

复制代码
 import('app.ORG.Crypt3Des');
        $crypt3des = new Crypt3Des(base64_encode(C('crypt_key')), base64_encode(C('crypt_iv')));


        $data['appkey'] = $_data['appkey'] = '11111111'; // 用于签名参数  对应C的取到的值
        $data['secret'] = $_data['secret'] = md5('11111111'); //用于签名参数
        $data['timestamp'] = $_data['timestamp'] = date('YmdHis', time()); //用于签名参数

        $data['sign'] = $this->data_auth_sign($_data);

        $data = json_encode($data);


        $crypt_data = (urlencode($crypt3des->encrypt($data)));

        $url = "http://127.0.0.1/app.php/customer/test";

        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_VERBOSE, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $crypt_data);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

        $return_data = curl_exec($ch);

        print_r($return_data);
        echo '<hr />';
        print_r(json_decode($return_data, true));

        if ($error = curl_error($ch)) {
            die($error);
        }
//        $rinfo = curl_getinfo($ch);
//        P($rinfo);
        curl_close($ch);
复制代码

 

 2017年6月24日23:17:10

这里补充一点,这个接口有个比较大的问题,就是没有版本控制,比如在接口加个V参数。

最新碰到一个问题就是,有个比较大的改版,因为ios发布不通过,导致安卓可以升级但是ios不能,所以整体升级就只能直接进行

解决发难,就是根据V参数的版本号去访问不同的比如,在访问控制器的ZxAction.class.php 的test方法的时候,实际访问的是Zxv3Action.class.php,或者 V3_zxAction.class.php,

在基础控制器里面处理一下,不然在大版本更新,如果某些接口是不能升级的话,就很需要这个参数进行处理对应的接口

复制代码
/* 新增版本控制参数v很重要,根据版本控制,比如
         * 
         * 访问 m=test&a=zx
         * 里面有$_POST['v'] =v1 
         * 实际访问的就是 m=test&a=v1_zx
         */
        if (!empty($_POST['v'])) {
            $module = 'App_admin://' . MODULE_NAME;
            $function = $_POST['v'] . '_' . ACTION_NAME;
            A("$module")->$function();   这里实例化的时候,会再次经过_initialize方法,有问题
            die;
        }

这个如果写在父控制器就会出现无限循环,出现问题


需要在自控制器里面加入这个,因为在初期没有考虑到这个,就只能补充这个,唉,经验不足
复制代码
  public function __construct() {
        parent::__construct();
        if (!empty($_POST['v'])) {
            $function = trim($_POST['v']) . '_' . ACTION_NAME;
            $this->$function();
            die;
        }
    }
复制代码

 

其实还可以在父控制使用二级域名来控制,进行版本控制
复制代码
posted @ 2017-08-16 16:32  永杰本杰  阅读(884)  评论(0编辑  收藏  举报