API接口签名校验
在开发app中,我们经常要为app提供接口。但是为了保证数据的安全,我们通常会对接口的参数进行加密。
1.不验证的接口api
api接口请求,"http://www.xx.com/getUser/?a=1&b=2"
这样的接口中非常粗暴。恶意者可以通过修改参数去拉取数据。对数据不安全。增加api接口额外的调用。
2.带签名的接口调用
给参数的appid和appsercert。然后后端存储appsercert。前台通过将appid和参数一起加密。生成sign。后端用appsercert进行校验。
/get/user?a=11&key=222&appid=test&sign=sfsfssfsdfsd
将所有的参数按字典序进行排序,然后最后加上appidsercet加入到尾部。进行md5 生成sign、
1 2 3 4 5 6 7 8 9 10 11 12 | <?phpfunction sign($arr,$key){ ksort($sign); $temp = expload("",$arr); $temp .= $key; return md5($temp);}?> |
3.请求的唯一性
上面的请求中,我们看到,我们通过sign和key 对 同一个请求,可以不停的进行请求,因为这都是合法的。所有我们需要进行将请求唯一性校验。
在请求的参数中加入timestamp 时间戳参数。 用户请求后,该请求进行有效期校验。如果过期则无效。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 25岁的心里话
· 按钮权限的设计及实现