App开放接口API安全性 — Token签名sign的设计与实现详解架构师
对于一些敏感的API接口,需要使用https协议。
https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。
二、签名设计
原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正确,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:
时间戳:timestamp
Token令牌:token
然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后更具MD5加密(可以加点盐),全部大写,生成sign签名,这就是所说的url签名算法。然后登陆后每次调用用户信息时,带上sign,timestamp,token参数。
其最终的原理是减小明文的暴露次数;保证数据安全的访问。
具体实现如下:
1. 客户端向服务器端发送用户认证信息(用户名和密码),服务器端接收到请求后,验证用户信息是否正确。
如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token -Uid的用户信息关系,以便其他API对token的校验。
如果错误:则返回错误码。
2.服务器设计一个url请求拦截规则
(1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。
(2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该 url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。
(3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。
(4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名 也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样无法确保公钥丢失,所以签名只是很大程度上保证安全)。
(5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。
7101.html
架构架构师架构设计相关文章
- Mac清理卸载软件App Cleaner & Uninstaller
- IOS APP开发:苹果app从开发到上架教程详解
- 个人号微信api接口开发_API接口授权系统php源码
- 2022超详细流程ios APP最新打包上线教程,保证一看就会!
- 2018最新苹果APP上架App Store流程(超详细)
- 一步步了解iOS APP上架流程,让你的APP顺利进入App Store的大门
- APP兼容性测试
- APP Uploader-iOS APP上架到App Store的辅助工具
- iOS APP上架App Store其中一个步骤就是要把ipa文件上传到App Store
- 受ChatGPT启发,10天完成能和数据聊天APP,回答问题不输本科生
- 东方财富APP“宕机”,导致股票无法交易
- 实现在windows、linux下上传ios app到App Store
- App Uploader下载安装
- 谷歌发布Android P Beta 2 包含最终版app编程接口详解手机开发
- 基于MSSQL的手机APP编程实践(mssql编程app)
- 利用Qt和MySQL构建App:快速下载详情(qtmysql下载)
- App无缝连接MySQL一种全新的解放方式(app直连mysql)
- APP直接访问MySQL快速便捷的解决方案(app直接mysql)
- App应用提交到MySQL中的实践与探索(app提交mysql)
- 极速开发APP与MySQL的无缝连接(app 如何连mysql)
- App与MySQL数据库构建坚固的联系(app和mysql数据库)
- App与MySQL搭建美好互联网空间(app与mysql)
- 智能化应用App文件夹Oracle引领未来(app文件夹oracle)
- MYSQL数据库助力下载电影App,高效运转数据管理系统(MYSQL下载电影app)
- 如何下载MySQL用于游戏App(MYSQL下载游戏app)
- MYSQL数据库下载指南,轻松安装游戏APP(MYSQL下载游戏app)
- 浅谈使用PHP进行手机APP开发(API接口开发)