webapp接口安全设计思路

在做webqq或者说app开发的时候，免不了会有接口是有权限的（如查询用户敏感信息等），这时接口安全设计思路就非常重要了。

简单一点，在APP中保存登录数据，每次调用接口时传输

程序员总能给自己找到偷懒的方法，有的程序为了省事，会在用户登录后，直接把用户名和密码保存在本地，然后每次调用后端接口时作为参数传递。真省事儿啊！可这种方法简单就像拿着一袋子钱在路上边走边喊“快来抢我呀！快来抢我呀！”，一个小小的嗅探器就能把用户的密码拿到手，如果用户习惯在所有地方用一个密码，那么你闯大祸了，黑客通过撞库的方法能把用户的所有信息一锅端。

安全一点：登录时请求一次token，之后用token调用接口

用户在登录时，把登录信息传递给后台，后台通过加密算法生成token并将token保存在数据库或者缓存服务器，同时把token返回给客户端，接口调用时候都带上token参数，后台通过判断token是否有效给予不同权限。（PS:token算法  md5(username+timestamp+随机字符串)）

更安全一点：再生成一个sign

用deviceid和时间戳再生成一个参数sign，比如 md5(deviceid+timestamp+ip+token)这样的形式。数据请求：https://api.xx.com/api?tamp=12445323134&token=adcdaxdecagh&sign=FDK2434JKJFD334FDF2

PS:token控制有效期，sign保证数据完整性。

 

其他设计方案：JSON Web Token