php - 接口怎么能确定是自己的APP调用的及安全性?
本文介绍了php - 接口怎么能确定是自己的APP调用的及安全性?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
1.接口使用一个key跟用户id md5加密。然后加密后的sign当参数传递(这样简单的加密方式安全吗?)。
2.那么问题来了,那如果用户的请求被抓到了,那不是别人也可以模拟请求。那如何知道请求是自己的APP发出的。
如果只是请求头上带了app信息,那其他人也可以模拟。
3.因为接口从app发出,用户只有抓本地包才能看到这些信息。现在用户被别人请求包的情况容易出现吗?
解决方案
强烈建议使用ssl来保护web api的通信安全,自己实现也未尝不可,但是肯定是没有ssl安全这是一定的。你这种做法会被中间人监听,sign直接会被拿到利用。
可以模拟请求。如果对方都反编译了你的app,鉴权过程都了解了,那么是绝对可以模拟的。
在没有ssl保护的情况下http都是明文传输,这种情况不是只有本地才能监听到。如果使用ssl保护通信安全的话,可以保证不被中间人监听。关于是否容易出现那就看你这个app的价值了。
推荐题主去了解下:中间人监听 重放攻击
这篇关于php - 接口怎么能确定是自己的APP调用的及安全性?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
