我在一個WebAPP項目中遇到了題主的這個問題。由于API是為APP準備的，因此在WebAPP中使用ajax和api進行交互也不得不按照app與api交互時的使用習慣。

在向api發出請求的時候，可能有兩種情況，一種是用戶登錄，一種是未登錄。無論哪一種情況，都可以采用下面的這種思路，但在使用token時使用不同的token即可。登錄用戶使用登錄時服務端生成的帶nonce的token，是唯一的，而未登錄用戶app在請求時，攜帶的是一個服務端和客戶端約定好的token(盡可能保密)。

在api設計時，盡可能的遵循restful風格，因此，在提交的信息中，用于鑒權的token被放在header中，token鑒權是設計我是這樣的思路：

app登錄，服務端創建token(token為經過加密后的字符串，可被解密，解密后的數據中包含登錄的用戶信息或非用戶登錄狀態下的約定好的token)，并且將app與server端的時間差一并保存在redis中，并將token返回給app，app將其保存在本地，利用html5的localStorage可以輕松做到

app在請求api接口時，傳入一個access_token，該access_token由token和時間戳運算后獲得，從而保證了每一次發送的access_token是不同的，這個access_token的有效期為很短的一段時間，只要保證在網速比較渣的情況下有效即可

服務端在接收到這個access_token后，經過解密，從redis中取出對應的token所提供的數據，對時間差進行比較，超出一定時間的，認為無效，并獲得該token對應的user_id或者判斷token是否為約定值。

這個思路可以：

拒絕不攜帶access_token的非法調用

防止無意間抓取到某個access_token，想利用該access_token做大規模攻擊

當然，這里加密解密會犧牲掉一些性能，這也只是我的一種思路。

總結

以上是生活随笔為你收集整理的php接口前端安全,前端js的ajax 调用PHP写的API接口，如何卡主安全性，防止非法调用呢？...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。