参考答案

服务端接口校验，PHP实现流程如下：

<?php

1. 获取GET参数值

$module = $_GET['mod'];

$controller = $_GET['ctl'];

$action = $_GET['act'];

$client_id = $_GET['client_id'];

$api_token = $_GET['api_token'];

2. 根据客户端传过来的client_id，查询数据库，获取对应的client_secret。

$client_secret = getclientSecretById($client_id);

3. 服务器重新生成一份api_token

$api_token_server = md5($module.$controller.$action.date('Y-m-d', time()).$client_secret);

4. 客户端传过来的api_token与服务器生成的api_token进行校对，如果不相等，则表示验证失败。

if($api_token != $api_token_server){

exit('access deny');

}

5. 验证通过，返回数据到客户端。

再说第二个token（user_token），它的职责是保护用户的用户名及密码多次提交，以防密码泄露。

如果接口需要用户登录，其访问流程如下：

1、用户提交“用户名”和“密码”，实现登录（条件允许，这一步最好走https）；

2、登录成功后，服务端返回一个 user_token，生成规则参考如下：

服务端用数据表维护user_token的状态，表设计如下：

服务端生成user_token 后，返回给客户端（自己存储），客户端每次接口请求时，如果接口需要用户登录才能访问，则需要把 user_id 与 user_token 传回给服务端，服务端接受到这2个参数后，需要做以下几步：

1、检测 api_token的有效性；

2、删除过期的 user_token 表记录；

4、更新 user_token 的过期时间（延期，保证其有效期内连续操作不掉线）；

5、返回接口数据。

那么token如何传递呢，ajax中传递token有以下几种方式：

1、放在请求头中：

2、使用beforeSend方法设置请求头