我们的app一般会在公司的后台申请一个appKey和appSecret,这两个是一一对应的。
appKey我们会作为一个参数写在URL中,发送至服务器。
appSecret则用于参与生成sign的计算。
sign算法需要足够复杂,最好有一套自己的签名算法,不是外界公开的;
一般采用安全散列算法实现,比如SHA1。
sign也要作为一个参数添加到URL中,和appKey一并发送至服务器。
如:xxx.html?appKey=xx?sign=xx?key1=xx?key2=xx?key3=xx。
服务器收到请求后,会通过appKey查到对应的appSecret,然后通过同样的散列算法,得到一个sign,然后比较一下两个sign是否相等。如果不相等则数据找到篡改,废弃这条请求。
另外,关于appSecret有两种使用方式:
-
appSecret直接写死在客户端代码中,这样直接获取调用即可。
-
appSecret还可以通过一个专门的接口getSign从后台获取。
这种情况需要用户首先登录成功后,服务器返回一个accessToken,然后调用appSecret接口需要带上这个accessToken参数。
解决了数据被篡改的问题,还有一个问题就是如果一条正常的请求数据被人获取到了,从而进行二次甚至多次请求怎么办?
我们这边可以使用nonce + timestamp的解决方案。
- nonce
non