APP接口安全问题
如何保证安全性呢?
大家做APP接口是如何保证安全的呢
网上有几种方法
1.提交用户名和密码,但是很多接口是公开的
2.生产客户端和服务端一样的token , 如果是以时间的话,那么59分发送过去,服务端01分才接受到,那么就会数据错误
3.有什么方法解决呢 亲?
回复内容:
如何保证安全性呢?
大家做APP接口是如何保证安全的呢
网上有几种方法
1.提交用户名和密码,但是很多接口是公开的
2.生产客户端和服务端一样的token , 如果是以时间的话,那么59分发送过去,服务端01分才接受到,那么就会数据错误
3.有什么方法解决呢 亲?
首先,HTTPS能上就上,抗抓包能力强。
其次,客户端和服务器共享一套加密或者散列算法,参数中加入随机验证参数,服务器识别验证。
最后,可以在头中定义一些特殊的验证参数验证来源(当然也包括类似Token的东西)。
不过,这些都是在客户端不会被反编译的情况下才有效。
第一个问题,很多接口都是需要token或者说key来调用的,当然不排除一些开放的接口。你都有用户名和密码去调用了。还有什么安全性,顶多就是做一些防止暴力破解的机制
第二个问题,大部分通过时间戳加密的都会在传递参数的过程中把这些加密参数完全传递(当然还有一些私有的密钥,这个只参与加密过程,并不会传递,也不会放到外面让大家看到的。貌似之前有个微信二次开发的提供商,把大量的appsecrect暴露,引起了XXX),也就是说系统接到请求,以接到的请求数据进行加密对比。
第三个问题,如果你理解上面说的,应该就懂了。。
附一个简单的加密流程
第三方:appid,appsecrect[私密的]
app接口:appid,appsecrect
第三方调用app接口会传递:appid+时间戳+md5(appid+时间戳+appsecrect),注意这里的appsecrect在调用app时,并不会参与传递。
app接到请求:得到请求中的appid+时间戳,通过appid在存储中获取appsecrect 然后进行md5(appid+时间戳+appsecrect),通过这个串同第三方的md5加密后的串进行比对,如果不同则抛出错误
HTTPS + SSLPinning + Token
1.HTTPS
2.签名机制(Token)
3.接口内容加密(RES/AES)
4.oauth2
公钥传输私钥加密

핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

드림위버 CS6
시각적 웹 개발 도구

SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제











이번 장에서는 CakePHP의 환경 변수, 일반 구성, 데이터베이스 구성, 이메일 구성에 대해 알아봅니다.

PHP 8.4는 상당한 양의 기능 중단 및 제거를 통해 몇 가지 새로운 기능, 보안 개선 및 성능 개선을 제공합니다. 이 가이드에서는 Ubuntu, Debian 또는 해당 파생 제품에서 PHP 8.4를 설치하거나 PHP 8.4로 업그레이드하는 방법을 설명합니다.

CakePHP는 PHP용 오픈 소스 프레임워크입니다. 이는 애플리케이션을 훨씬 쉽게 개발, 배포 및 유지 관리할 수 있도록 하기 위한 것입니다. CakePHP는 강력하고 이해하기 쉬운 MVC와 유사한 아키텍처를 기반으로 합니다. 모델, 뷰 및 컨트롤러 gu

VS Code라고도 알려진 Visual Studio Code는 모든 주요 운영 체제에서 사용할 수 있는 무료 소스 코드 편집기 또는 통합 개발 환경(IDE)입니다. 다양한 프로그래밍 언어에 대한 대규모 확장 모음을 통해 VS Code는
