progettazione dell'interfaccia POST di php all'app mobile

Naviga le tue risposte
2

Attualmente sto lavorando su un'applicazione php, per creare un'interfaccia che riceverà i dati POST dall'app mobile e li elaboreremo in un database condiviso.

Per fare le cose bene in una prima volta, stavo cercando la regola empirica per progettare il servizio web. Ho trovato rapidamente il consiglio utilizzando l'API RESTful. Ho letto alcuni semplici tutorial REST. Forse a causa delle mie conoscenze limitate, non ho visto alcun beneficio utilizzando REST. Non copre anche il mio principale problema di sicurezza, per garantire che il php sia in grado di filtrare le richieste non valide e ricevere solo la richiesta non modificata inviata dai dispositivi autorizzati.

Sto cercando un consiglio per creare l'API php con lo standard del settore, per la manutenzione, l'efficienza e anche la sicurezza.

    
posta Fernando Tan 20.07.2016 - 18:58
fonte

1 risposta

1

Sembra che tu abbia un caso d'uso abbastanza standard e non hai molta esperienza con le API. In tal caso potrebbe essere sensato utilizzare uno dei framework disponibili che fornisce un'API in modo da poter concentrarsi sui requisiti aziendali. Sembra anche un modo più sicuro per andare e ti darà un po 'di esperienza sulle possibili implementazioni.

Il problema di sicurezza che sembra essere: voglio solo ricevere richieste dall'app / dispositivo reale. Corretto?

Il problema è irrisolvibile a meno che tu non abbia il pieno controllo sui dispositivi.

Se hai il controllo completo (come dispositivi personalizzati / dispositivi gestiti MDM):

Installa un certificato o qualche altra chiave di sicurezza sui dispositivi e consenti l'accesso solo se hanno un certificato valido.

Situazione normale (smartphone, tabelle ecc.):

Non basare la tua sicurezza sul dispositivo stesso ma l'utente ha effettuato l'accesso (credenziali). In genere non ti interessa troppo del dispositivo che sta usando un utente. Tieni l'utente giusto a ottenere i permessi giusti.

Che cos'è REST in questo contesto?

Il tuo POST sul server ha alcune cose che hanno bisogno di definizione: a quale URL lo mandi? Quale formato di dati invii (JSON / XML / POST / etc)? Come rispondi? Cosa spedisci quando si verifica un errore?

Tutte queste domande sono (provate) a cui risponde REST. Quindi usi uno standard del settore per lavorarci.

Una famosa alternativa è SOAP, quindi puoi trovare alcune cose per confrontare REST con.

Quindi l'implementazione è più probabile:

  1. Crea l'API con uno strumento (Zend Framework, CakePHP, Laravel, ecc.) che ti aiuta a configurare un'API abbastanza rapidamente. Da quel momento puoi accettare la richiesta POST.

  2. Implementa uno schema di sicurezza, la maggior parte degli strumenti ha alcune soluzioni predefinite integrate. Quindi il tuo POST contiene un nome utente + password OPPURE qualche chiave di sicurezza API.

  3. Implementa la logica aziendale. Ottieni i dati grezzi (come JSON dal POST) automaticamente convertiti in un tipo di tipo nativo come un oggetto o un array in modo da poterlo utilizzare immediatamente. Puoi anche usare il framework per rispondere nel formato giusto o per aumentare gli errori quando necessario. Li rimanderà al tuo cliente nel formato previsto giusto.

  4. Sul tuo client, per inviare il POST, puoi anche utilizzare alcuni strumenti standard per effettuare la richiesta. Se il tuo client è un dispositivo Javascript, puoi usare qualsiasi cosa da jQuery ($ .post) a un'implementazione nativa. Quando hai uno script PHP come client API puoi utilizzare l'aiuto di Guzzle ad esempio: link Qui puoi trovare un esempio di autenticazione di base.

risposta data 21.07.2016 - 08:33
fonte

Leggi altre domande sui tag

Perché una WeakMap ES2015 non può avere chiavi primitive? In un ambiente di integrazione continua, in che modo i team gestiscono bug noti minori? [duplicare]