Как сделать запрет?

Question

[Chesterfield25]

У меня есть restApi. Данный api будет использоваться в приложение. Хочу сделать запрет на использование если не прошла проверка. В index.php Есть небольшая проверка с приложения приходить get запрос, если это значение совпадает с тем значением что в бд значит всё ок, если нет то сделать запрет на использование всего остального функционала. У меня сама проверка работает, но как сделать запрет на использование всего функционала в случае если проверка не прошла? Думал присылать ip устройства и при необходимости блокировать его, но это идеальное решение если человек подключен по wifi, а если мобильная сеть то так можно заблокировать много пользователей. Может что то посоветуете?

Вот сам index.php

<?php 

// необходимые HTTP-заголовки
header("Access-Control-Allow-Origin: *");
header("Content-Type: application/json; charset=UTF-8");
header("Access-Control-Allow-Methods: GET");


if(isset($_GET['get_package'])){

require_once __DIR__.'/boot.php';

$get_package = $_GET['get_package'];

$get = null;

$stmt = pdo()->prepare("SELECT `name` FROM `get_package_name`");
$stmt->execute();
$get = $stmt->fetch(PDO::FETCH_ASSOC);

// массив requestok
$requestok_arr['status'] = '200';
$requestok_arr['message'] = 'OK';

// массив requestno
$requestno_arr['status'] = '401';
$requestno_arr['message'] = 'Access denied for your application.';

if($get_package === $get['name']) {
    echo json_encode($requestok_arr);
} else {
    echo json_encode($requestno_arr);
}

} else {
// массив requestfailed
$requestfailed_arr['status'] = '404';
$requestfailed_arr['message'] = 'Failure!';

    echo json_encode($requestfailed_arr);
}

Answer 1

[Дмитрий]

$stmt = pdo()->prepare("SELECT `name` FROM `get_package_name` where name = ?");
$stmt->execute([$_GET['name']]);
$get = $stmt->fetch(PDO::FETCH_ASSOC);

В гет будет лежать пустой массив если нет такой записи.

З.Ы. Зачем эти вложенности?

if(!isset($_GET['get_package'])){
      die(json_encode($requestfailed_arr));
}

Answer 2

[catanfa]

очень похоже что вам нужна авторизация. Один из самых простых вариантов - HTTP авторизация https://www.php.net/manual/en/features.http-auth.php. Это проверку, разумеется, нужно выполнять на любом запросе в приложение. Конкретное место зависит от фреймворка. Если у вас фреймворка нет, но есть единая точка входа (index.php), то можно проверку поместить туда. Иначе сделать сначала единую точку входа )

Comments

[Chesterfield25]

Понимаете во первых авторизация уже есть, но в моем случае она не поможет, сейчас постараюсь объяснить почему. По факту мое api очень простое:
1. Регистрация
2. Авторизация
3. Кабинет в котором можно посмотреть свои данные и баланс.
4. Страница отправки платежа пользователю, по простому в post запросе будет отправляться какая то цифра которую нужно прибавить на баланс определенному пользователю. И всё бы нечего если бы эту страницу можно было скрыть от глаз недоброжелателей, а точнее сам url. А в приложение под android тяжело что то скрыть, а тем более url отправки запроса! Можно прочитать всё: куда отправляется и что отправляется!

[rPman]

Chesterfield25, проблема то в чем?
секретную страницу показывать только авторизованным пользователям
пользователей, которые нарушают правила (не проходят проверку однократно) - отмечаются в базе как забаненные (в т.ч. на определенный срок, сохранив в базе дату разбана)

[Chesterfield25]

rPman,

секретную страницу показывать только авторизованным пользователям

А разве нельзя авторизоваться через postman а потом через тот же postman отправить post запрос с любым числом на указанный url?