细说RESTful API安全之防止数据篡改

通常可以使用MD5或SHA-1对API参数进行签名，在服务器端通过校验签名结果来验证数据是否被修改。

举个例子：添加用户

          地址：http://192.168.0.10/v1/user/add?sign=MD5(请求参数 + timestamp + access_token)&timestamp=1496978464401
          方法：POST
        消息头：
          Host：192.168.0.10
    User-Agent：Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
        Accept：text/json, */*; q=0.01
  Content-Type：application/json; charset=UTF-8
Content-Length：67
    Connection：keep-alive
Authentication：Basic Y2hlbmNoPTExMTExMQ==
    
      请求参数：
{name: "zhangsan", email: "zhangsan@org.com", phone: "1318907653"}

1. acess_token通过消息头Authentication传递。
2. 将请求参数，当前时间戳以及access_token一起进行计算签名：sign=MD5(请求参数 + timestamp + access_token)，服务器端接收到参数时，先进行签名验证，如果签名不正确，则说明数据被修改，返回400。

但是，简单的MD5签名规则也可能被破解，攻击者只需要使用相同的规则即可轻松修改数据。
所以，建议在对参数进行签名时添加盐值。为了避免盐值保存在客户端被泄露，可以动态从服务器端动态获取盐值，即：sign=MD5(请求参数 + timestamp + access_token + 动态盐值)。