zoukankan      html  css  js  c++  java
  • api调用安全

    直接传 key 简直就是多此一举啊,随便监听一下网络就能把你的 key 盗走。 
    最简单的方式是使用签名,各大开放平台都是这样做的,性能好,安全性不错。 
    
    签名基本原理是通过 key/secret 的实现: 
    1, 服务器负责为每个客户端生成一对 key/secret ( key/secret 没有任何关系,不能相互推算),保存,并告知客户端。 
    2, 当客户端调用 api 时,根据某种规则将所有请求参数串联起来并用 secret 生成签名 sign 。 
    3, 将 sign 和 key 一起放进请求参数对服务器进行调用。(注意 secret 不要传) 
    4, 服务端收到请求,根据 key 去查 secret ,然后用同样的算法,验证签名。 
    5, 为避免重放攻击,可加上 timestamp 参数,指明客户端调用的时间。服务端在验证请求时若 timestamp 超过允许误差则直接返回错误。 
    
    以上,即使第三方知道了你的算法, key 等信息,由于无法捕获到 secret ,也无法推算,因此是安全的。最好是把 api 布署成 https 的。
  • 相关阅读:
    android sdk里的各目录作用
    android广播接收器
    Android 服务
    全球10个智慧城市应用案例
    大数据应用蓝皮书:未来涉及5个热点领域
    2018杭州-云栖大会
    上海世界人工智能大会大佬观点
    2018世界人工智能大会
    大数据安全
    2018第37周六
  • 原文地址:https://www.cnblogs.com/norm/p/7150167.html
Copyright © 2011-2022 走看看