zoukankan      html  css  js  c++  java
  • api调用安全

    直接传 key 简直就是多此一举啊,随便监听一下网络就能把你的 key 盗走。 
    最简单的方式是使用签名,各大开放平台都是这样做的,性能好,安全性不错。 
    
    签名基本原理是通过 key/secret 的实现: 
    1, 服务器负责为每个客户端生成一对 key/secret ( key/secret 没有任何关系,不能相互推算),保存,并告知客户端。 
    2, 当客户端调用 api 时,根据某种规则将所有请求参数串联起来并用 secret 生成签名 sign 。 
    3, 将 sign 和 key 一起放进请求参数对服务器进行调用。(注意 secret 不要传) 
    4, 服务端收到请求,根据 key 去查 secret ,然后用同样的算法,验证签名。 
    5, 为避免重放攻击,可加上 timestamp 参数,指明客户端调用的时间。服务端在验证请求时若 timestamp 超过允许误差则直接返回错误。 
    
    以上,即使第三方知道了你的算法, key 等信息,由于无法捕获到 secret ,也无法推算,因此是安全的。最好是把 api 布署成 https 的。
  • 相关阅读:
    不同数据类型的取值范围
    反正切函数求圆周率 atan
    HDOJ 1106
    HDOJ 1596
    HDOJ 1026 dfs路径保存
    qsort用法总结
    HDOJ 2088
    HDOJ 1878 欧拉回路 nyoj 42一笔画问题
    HDOJ 1863 prim算法 HDOJ 1879
    HDOj 1010 DFS优化
  • 原文地址:https://www.cnblogs.com/norm/p/7150167.html
Copyright © 2011-2022 走看看