通常可以使用MD5或SHA-1对API参数进行签名,在服务器端通过校验签名结果来验证数据是否被修改。
举个例子:添加用户
地址:http://192.168.0.10/v1/user/add?sign=MD5(请求参数 + timestamp + access_token)×tamp=1496978464401
方法:POST
消息头:
Host:192.168.0.10
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept:text/json, */*; q=0.01
Content-Type:application/json; charset=UTF-8
Content-Length:67
Connection:keep-alive
Authentication:Basic Y2hlbmNoPTExMTExMQ==
请求参数:
{name: "zhangsan", email: "zhangsan@org.com", phone: "1318907653"}
1. acess_token通过消息头Authentication传递。
2. 将请求参数,当前时间戳以及access_token一起进行计算签名:sign=MD5(请求参数 + timestamp + access_token),服务器端接收到参数时,先进行签名验证,如果签名不正确,则说明数据被修改,返回400。
但是,简单的MD5签名规则也可能被破解,攻击者只需要使用相同的规则即可轻松修改数据。
所以,建议在对参数进行签名时添加盐值。为了避免盐值保存在客户端被泄露,可以动态从服务器端动态获取盐值,即:sign=MD5(请求参数 + timestamp + access_token + 动态盐值)。