App开放接口api安全性—Token签名sign的设计与实现

App开放接口api安全性—Token签名sign的设计与实现

前言

       在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多数开放接口安全验证一样,如淘宝的开放接口token验证,微信开发平台token验证都是同理。

 

签名设计

     对于敏感的api接口,需使用https协议

           https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。

           https协议需要ca证书,一般需要交费。

 

     签名的设计

           原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:

         时间戳:timestamp

         Token令牌:token

         然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后更具MD5加密(可以加点盐),全部大写,生成sign签名,这就是所说的url签名算法。然后登陆后每次调用用户信息时,带上sign,timestamp,token参数。

例如:原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 (post和get都一样,对所有参数排序加密)

 加上时间戳和token

       https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc

      然后更具url参数生成sign

      最终的请求如

         https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2

 

其最终的原理是减小明文的暴露次数;保证数据安全的访问。

具体实现如下:

           1. api请求客户端想服务器端一次发送用用户认证信息(用户名和密码),服务器端请求到改请求后,验证用户信息是否正确。

        如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token—-Uid的用户信息关系,以便其他api对token的校验。

        如果错误:则返回错误码。

          

            2.服务器设计一个url请求拦截规则

               (1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。

               (2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该                         url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。

               (3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。

               (4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名                       也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样如果无法确保公钥丢失,所以签名只是很大程                       度上保证安全)。

                (5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。

 

            3.Token和Uid关系维护

               对于用户登录我们需要创建token–uid的关系,用户退出时需要需删除token–uid的关系

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/113678.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • linux中lamp架构搭建_docker搭建redis集群

    linux中lamp架构搭建_docker搭建redis集群文章目录一、什么是LAMP架构二、各组件的作用1.Apache(前台)2.MYSQL(后台)3.PHP/Perl/Python4.linux三、LAMP架构安装一、什么是LAMP架构LAMP架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MYSQL数据库服务器、PHP(Perl、python)网页编程语言。在构建LAMP架构时,各组件的安装顺序以此为Lin

    2022年10月16日
  • 【软件】Mac中MacPorts安装和使用[通俗易懂]

    【软件】Mac中MacPorts安装和使用[通俗易懂]下载官方安装包下载地址:https://www.macports.org/install.php选择自己的下载版本安装MacPorts步骤一:断开网络步骤二:安装安装包如果步骤一没断网成功

  • 浅谈Android指纹识别技术[通俗易懂]

    浅谈Android指纹识别技术[通俗易懂]浅谈Android指纹识别技术当今时代,随着移动智能手机的普及,指纹解锁早已是手机不可或缺的一个功能。除了现在比较新款的iPhone或者部分手机采用了FaceID之外,人们几乎天天都会用到指纹解锁技术。但你知道指纹解锁技术背后的原理吗?原理指纹识别的前提是对指纹的采集,所以我们首先就应该了解第一步:指纹采集。第一步:指纹采集指纹采集主要分为两种方式:滑动式采集和按压式采集滑动式采集是将手指在传感器上滑过,从而使手机获得手指指纹图像。滑动式采集具有成本相对偏低,而且可以采集大面积图像的优势。但这

  • java scanner输入数组_java基础- scanner/方法/数组

    java scanner输入数组_java基础- scanner/方法/数组1.用户交互scannerNext()publicclassdemo1{publicstaticvoidmain(String[]args){//创建一个scanner对象Scannerscanner=newScanner(System.in);System.out.println(“请使用next方式进行接收:”);//判断有无输入字符if(scanner.hasNext…

  • 团队分工

    团队分工

    2021年11月18日
  • linux卸载JDK

    linux卸载JDK[root@teajava]#rpm-qa|grepjdk[root@teajava]#rpm-ejdk-1.7.0_79-fcs.x86_64

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号