有个兄弟在群(136351212)里问,有人在恶意调用app里的短信接口,主要是在app上而且是原生的代码,没有办法在app上限制或者让用户更新app,只能从服务端限制ip的方式来处理,我给出的方法是,一个ip能30分钟内只能调用短信接口几次。
这就引出app与服务端接口安全的问题了 上面的兄弟估计没有带安全认证直接get或post接口
如:http://www.phpsong.com/?参数1=value1 这种方式简单粗暴,信息泄露或者被黑客劫持数据,那你的接口的全部暴露了
解决方法接口带安全签名
设计Sign表 字段
id appid secret model version id 自增长id appid appid不能重复 int secret 加密随机的 string model 调用的哪个接口 string version 接口的版本 string
我以上面的短信接口为例 app端处理
$appid='123456'; $secret='sdfawerdvzsdfasdfsadfadf'; $model='SMS'; $version='v1'; $timestamp=time();//根据上面的参数等到一个签名
$sign=md5($appid.$secret.$model.$version.$timestamp);加密之后的链接
http://www.phpsong.com/?appid=$appid&sign=$sign&model=$model&version=$version×tamp=$timestamp
每秒调用接口都是改变sign(签名),黑客劫持到了数据也没有用服务端处理
根据appid去查到secret的数据,然后根据客户端的加密方式,得到一个sign(签名),和客户端传过来的参数做对比一样就继续下面的数据调用,错误就直接结束程序
QQ交流群:136351212
查看原文:http://www.phpsong.com/2281.html
app Sign(签名)认证
最新推荐文章于 2024-07-30 17:45:55 发布