准备用 php 给 app 写接口，以前没做过，请问大家有没有项目给予参考，谢谢

写 API 吗？和什么语言无关吧，看的是 API 的设计方式。
参考 新浪微博 API，淘宝 API，微信 API，GitHub API 都不错，同时参考： http://www.ruanyifeng.com/blog/2011/09/restful.html 这篇文章

1、需要加密，以确保只响应来自于自己 APP 的请求；
2、使用 JSON 格式传输数据；
3、RESTful；
4、跟写网站一样，只不过视图变成了 JSON 输出。

@abelyao 多谢

@qiayue 加密那块是不是理解为必须要带token还是什么别的？

@cooper 非常感谢！

这不需要什么特殊处理啊,app需要读取什么数据,用GET或者post方法提交服务器(一个PHP接口地址),返回XML或者json就行了,PHP只处理逻辑,显示给APP负责.

@em70 原来一直做网站的，想找些app方面有什么特殊的处理，比如要token，要传设备信息神马的。

google RESTful

post的内容和时间戳加密后放在head里

@neutrino 恩 多谢

@cougar 如果数据很关键害怕人抓包,加密很简单,XML或者json做3次base64再把里面的a和b,c和d互换就足够应付水平一般的小偷了.要防高手,那就用一些专业的加密算法,aes128什么的,GET传个密匙.看有没有必要,不是必须的.

这个应该有帮助： https://github.com/interagent/http-api-design

HTTP header里加上版本信息时很有必要的，无论是以后增加兼容性API的hack，还是自己做数据分析。header名供参考：

X-{APPNAME}-APP-VERSION
X-{APPNAME}-DIST-CHANNEL
X-{APPNAME}-DEVICE-PLATFORM

@em70 @siteshen 都是实用的经验。谢谢。

@zsk425 目前看起来有点吃力，慢慢啃，多谢

我觉得加密分两种级别，一种是usertoken，一种是ssl
视安全程度而定

1. 接口都是你问我答, 规则两边定好就行了.
2. HTTP GET 会被缓存, POST 不会.
3. 不要迷信 HTTPS, 我私自开一个 mitmproxy, HTTPS 访问一样是明文的. 这样你API自身没做内容加密, 还是没用.

你的内容真的很重要, 还是会有人去破.

我当初在 PSP 上用 gdb 下断点+dump内存的方式获取游戏解密出来的内容, 就是说我根本不需要知道你的加密算法和密钥, 利用游戏本身提供的解密功能就行了...

没有绝对安全的防范方法

只有比较有效：
1. SSL
2. 公钥+私钥+timestamp based singautre

@kukat

*signature

留名，等高人的解决方案学习之
自己的api用的是asp的ashx解决的

嗯，学习下说不定就能自己写个社会化评论看看。。。

@ETiV 实用，谢谢