現(xiàn)狀：項(xiàng)目中一直遺留著一個(gè)問題，接口請(qǐng)求安全性問題。項(xiàng)目中的接口都是不設(shè)防的，一直都沒校驗(yàn)請(qǐng)求的合法性。

需要達(dá)到的目的：過濾非本身app發(fā)出的請(qǐng)求，服務(wù)器能校驗(yàn)到客戶端請(qǐng)求的合法性。

解決方案：1.直接上https(可以避免抓包);2.采用接口請(qǐng)求帶上校驗(yàn)參數(shù)。

本文是通過【2.采用接口請(qǐng)求帶上校驗(yàn)參數(shù)】進(jìn)行處理接口安全問題。

要達(dá)到目的需要解決4個(gè)問題：

1.客戶端和服務(wù)器通訊過程中需要帶上一個(gè)共同都能識(shí)別的值(Token)

2.Token有2個(gè)注意點(diǎn)(a.該值是服務(wù)器返回的;b.該值是可變的并且服務(wù)器是能識(shí)別的)

3.客戶端和服務(wù)器之間如何維護(hù)Token的不變部分和可變部分

4.如何讓請(qǐng)求中的Token是不可解析的

解決思路(在接口傳遞過程中全程加密,并且客戶端和服務(wù)器使用的加解密密鑰有2套)

方法1:

1.客戶端獲取預(yù)授權(quán)碼(預(yù)授權(quán)碼是一次性的，并且有效期1分鐘)

2.通過【預(yù)授權(quán)碼+APPID】獲取token和服務(wù)器當(dāng)前時(shí)間戳(客戶端需要維護(hù)服務(wù)器返回的時(shí)間戳;)

3.客戶端每次請(qǐng)求都帶上 【 token + 變化的時(shí)間戳 】

4.token有一個(gè)效期,時(shí)間戳有一個(gè)有效范圍，只要token和時(shí)間戳有一個(gè)不正確都需要重新獲取

加上時(shí)間戳的原因：維護(hù)一個(gè)變化的值，可以減少請(qǐng)求信息被抓取后模擬請(qǐng)求的情況;

使用服務(wù)器時(shí)間戳的原因：避免客戶端時(shí)間不一致導(dǎo)致校驗(yàn)失敗;

加密：因?yàn)槿绻患用軘?shù)據(jù)容易被模擬;

雙向加密：增加破解難度;

加上Token原因：雖然有了變化的時(shí)間戳,但是因?yàn)橹皇怯脮r(shí)間戳的情況下后臺(tái)無法監(jiān)控請(qǐng)求對(duì)應(yīng)的信息,也無法控制請(qǐng)求的停止。

轉(zhuǎn)載自http://www.cnblogs.com/Jimmy-pan/p/5786359.html