本文通过案例分析了开放API接口时采用参数签名验证的重要性。首先介绍了未验证的接口存在的安全问题,然后详细说明了使用MD5进行参数签名的方法,包括分配key和secret、签名过程以及加入时间戳确保请求唯一性。最后强调了secret的安全性和签名算法的可定制性,以增强API通信的安全性。
为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。
案列分析
我们通过给某 [移动端(app)] 写 [后台接口(api)] 的案例进行分析:
客户端: 以下简称app
后台接口:以下简称api
我们通过app查询产品列表这个操作来进行分析:
app中点击查询按钮==》调用api进行查询==》返回查询结果==>显示在app中
上代码啦 -_-!
一、不进行验证的方式
api查询接口:
app调用:http://api.test.com/getproducts?参数1=value1…
如上,这种方式简单粗暴,通过调用getproducts方法即可获取产品列表信息了,但是 这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。
那么,如何验证调用者身份呢?如何防止参数被篡改呢?
二、MD5参数签名的方式
我们对api查询产品接口进行优化:
1.给app分配对应的key、secret
2.Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:
a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue 字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2 然后将参数名和参数值进行拼接得到参数字符串:arong1cron
最低0.47元/天 解锁文章
扫一扫
1005
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
