参考文档: http://hello1010.com/api-sign
api安全需要校验:
a. 接口的参数是不是被篡改 (参数签名的方式 eg: $appsecret.$key1.$value1.$key2.$value2...$appsecret )
b. 请求来源是不是合法 (答案同a的解决)
c. 请求是不是有唯一性 (避免被重放请求, 请求中带上时间戳 校验是不是在5分钟之内)
接口调用方的情况:
/api/?f=1&b=23&k=33&sign=signValue
一旦接口的参数修改 由于sign是没有办法同步修改的所以确保了数据的来源是合法的 参数也是没有被篡改的