本文主要是介绍APP接口设计安全问题-app接口鉴权,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了
系统无用户登录
新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢
直观总结方法二:
1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
有点:防止了服务器端api被随意调用。
缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。
2.第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
每次请求带上cookie。
点评:和pc上浏览器认证的原理一样了。
以上两点,只有注册用户,才能有权访问业务逻辑,而app有大量的不需要注册数据api
3.制定一个token生成规则,按某些服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器收到请求也校验这个串。
缺点:随机串生成规则要保密。
比如:一个使用PHP框架的工程,框架每次交互都会有 module和action两个参数做路由,这样的话,我就可以用下边这个规则来生成token
app要请求用户列表,api是“index.php?module=user&action=list”
app生成token = md5sum ('user'.'2012-11-28'.'#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;
实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”
服务器端接到请求用同样方法计算token,
<?php
$module = $_GET['module'];
$action = $_GET['action'];
$token = md5sum($module.date('Y-m-d',time()).'#$@%!*'.$action);
if($token != $_GET['token']){alarm('access deny');exit();
}
?>
先提这三个,都在项目中用过。
一般的构造方法这里以eoe网络接口很久前的相关约定为例:
公共参数:
| 参数名 | 取值 | 含义 | 备注 |
| uniquely_code | 字符串 | 该用户手机的设备号 | 必需,可取设备唯一码 |
| api_key | 字符串 | 分配的api_key | 必需 |
| nonce | 字符串 | 唯一码 | 必需 |
| timestamp | 数字 | 时间戳,标识访问时间 | 必需 |
| api_sig | 签名值 | 按照规则计算出来的签名 | 必需 |
| alt | 字符串,目前支持xml | 需要返回结果的数据格式 | 可选,默认值: xml |
| page | 数字 | 获取结果集的第几页结果 | 可选,默认值: 1 |
| limit | 数字 | 结果集每页返回几条结果 | 可选,默认值: 20 |
| locale | 字符串,格式为zh-rCN | 当前用户的locale代码 | 可选,默认值:unknown-rUnknown |
PS:
每个接口除了其各自业务逻辑需要的参数外,还需要包含如下公共参数。
鉴权规则:
计算签名值:
api_sig =MD5("api_key"+@api_key+"+"nonce"+@nonce+"timestamp"+@timestamp+"uniquely_code"+@uniquely_code+api_secret)
发送请求:
如上参数列表中的必需的参数,加上计算出来的api_sig通过GET方式发送。
当然还有其它的一些方式,比如将入参首字母排序然后加上“secret key”做hash等等,不过总体来说一般的鉴权方式都大同小异。如果公司接口采用了上面所说方法,而且安全级别要求又特别高的话,建议用NDK实现。
这篇关于APP接口设计安全问题-app接口鉴权的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
