php - APP接口安全问题

问题描述

问 题

如何保证安全性呢?
大家做APP接口是如何保证安全的呢
网上有几种方法
1.提交用户名和密码,但是很多接口是公开的
2.生产客户端和服务端一样的token , 如果是以时间的话,那么59分发送过去,服务端01分才接受到,那么就会数据错误
3.有什么方法解决呢 亲?

解决方案

第一个问题，很多接口都是需要token或者说key来调用的，当然不排除一些开放的接口。你都有用户名和密码去调用了。还有什么安全性，顶多就是做一些防止暴力破解的机制
第二个问题，大部分通过时间戳加密的都会在传递参数的过程中把这些加密参数完全传递（当然还有一些私有的密钥，这个只参与加密过程，并不会传递，也不会放到外面让大家看到的。貌似之前有个微信二次开发的提供商，把大量的appsecrect暴露，引起了XXX），也就是说系统接到请求，以接到的请求数据进行加密对比。
第三个问题，如果你理解上面说的，应该就懂了。。
附一个简单的加密流程
第三方：appid，appsecrect[私密的]
app接口：appid，appsecrect
第三方调用app接口会传递：appid+时间戳+md5（appid+时间戳+appsecrect），注意这里的appsecrect在调用app时，并不会参与传递。
app接到请求：得到请求中的appid+时间戳，通过appid在存储中获取appsecrect 然后进行md5（appid+时间戳+appsecrect），通过这个串同第三方的md5加密后的串进行比对，如果不同则抛出错误

这篇关于php - APP接口安全问题的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！