保护php api

Question

我有我自己的API，内置php，并带有zend框架，用于数据库的CRUD功能。

但现在我担心我的小API有点担心，因为我需要有投票功能，允许用户每个项目投票一次。投票的唯一要求是用户的Facebook ID，所以我害怕如果有人循环发布我的投票API与很多Facebook的ID。

所以现在我正在考虑从我的应用程序客户端将加密的令牌传递给投票API，并在API做这些事情之前检查它。

所以我想知道什么是生成动态令牌并将其安全地传递给API的最佳方法？还是有任何简单的方法来识别从我的应用程序客户端以外的任何来源发出的API请求？

目前我使用jquery ajax将所有json数据传递给我的api。谢谢！

Answer 1

我能想到的最简单的方法是，你在API调用中加入了一些哈希来验证数据来自你的应用。 例如你可以创建Facebook ID和盐的散列。你只需确保接收端知道用于该呼叫的盐。 例如

hash = sha256(Facebook_id+app_id) 

将是一个办法。