yii API接口设计

最近使用yii2作为服务器开发, 客户端为android以及C#, JSON格式通信;

使用yii2作为API接口设计中需要注意的几点:

1. Csrf的验证

默认yii2是使用csrf来验证每次的POST请求, 因为我使用了自定义的一套验证方式，所以需要屏蔽掉csrf, 在设置文件config/main.php中

'request' => [
    'csrfParam' => '_csrf-backend',
    'enableCsrfValidation' => false,
],

可以参考yii2的源文件说明

yiisoft/yii2/web/Request.php文件中

2. 接口安全设计

一般分为api接口名称加密以及用户信息加密

yii2也是使用controller/action的模式, 例如user/insert表示为添加用户的请求action地址,

这个地址如果不想暴露的话, 可以加密, 在yii2的时候在解密即可

api_token以及user_token

在用户表里可以多添加user_token以及experie_time的字段用于验证用户以及失效时间;