统一签名

字典表

app_key:客户端名称

app_secret:客户端密码

timestamp:与noncestring配合使用防重刷

noncestring:随机串

type:加密方式

 

思路

1.客户端

客户端将app_key,app_secret,timestamp,nonocestring与其他请求参数排序后拼接,然后使用加密方式加密后得到签名,再一起发过去服务端

2.服务端

服务端从客户端传来的参数获取app_key的,然后查询得到app_secret,然后根据相同的方法求签名,与客户端的对比,相同则通过

 

防重刷:第三方截取客户端发送的请求,不作更改但重复发送给服务器的攻击

timestamp是客户端的发送时间戳,与服务端的对比,超过指定时间则说明过期不能再使用

noncestring是客户端每次发送都要生成的随机串,在签名有效时间内不能重复通过服务器,这就保证签名有效时间内无法重复使用

 

加密方法的选择

客户端可以任意选择,只要服务器有对应的加密算法,只要在type那里写明使用了什么方法,服务器就能选择对应的加密方法来验证签名

在服务器上使用工厂模式来选择加密方法

 

posted @ 2018-08-13 17:43  逃跑旅馆  阅读(243)  评论(0编辑  收藏  举报