App 前端 <==> 服务器后端 API 加密文档

主要三点约定（三点都需要）：

用户验证：使用 Auth2.0 或者 Json web token（简称 jwt）

接口调用来源限制：使用 AppSecret 和服务端进行 Hash 加密约定

网络传输安全：使用 Https 安全传输协议对传输数据进行加密

📍用户验证

说明：就像 web 前端使用 cookie & session 来进行用户的登陆状态保持一样，手机端 App 也需要良好的鉴权方式。

目的：防止用户名密码等隐私信息泄露

集成方式：使用 Auth2.0 或者 Json web token，请根据需求进行选取，我们下面讨论 jwt。

解锁❤️姿势

JWT@2x.png

如果只是做用户登陆状态安全持久化的话，那服务器采用 Json web token 就好。jwt 是现在做前后端分离用的比较多的一种验证模式，随着如 vue.js、react.js 等 JS 框架的火爆，web 前端开发也进入到了单页应用（SPA）的时期，jwt 就是用来做前后端分离鉴权一种良好的解决方案。

jwt 可以避免基础的账号密码鉴权，不用每次传输用户名和密码进行用户验证，保证了用户账号的安全性

手机应用是前后端分离很彻底的应用，用 jwt 这种登陆换取 token 进行用户会话保持是现阶段比较好的方式。这里不讲具体技术，因为 jwt 属于后端集成，具体 jwt 方案请参考 jwt 官网 或者各自语言的三方库网站。

📍接口调用来源 App 限制

说明： 这一步没有其他两步重要，但也是对安全性要求高的应用必备的

目的：非官方应用无法模拟用户隐私行为，防止 Api 被恶意调用（如：获取用户订单，用户信息接口）

集成方式：前后端一起约定一个 AppKey 和 AppSecret，进行 Hash 等方式加密

解锁❤️姿势

Secret@2x.png

前后台约定一个 AppKey 用来做为应用的唯一标识符，也可以用来区分 Android 和 iOS 端。
例(更新用户信息)：

*更新用户信息*
//约定 key & 秘钥
AppKey = "fGLQcHZtmFfadfasd3eZ3uQGxcu4YwxeEuBvTC"

// Secret 秘钥用来进行做前后台数据加密混合，把参数 key 进行生序排列，之后拼接，采用秘钥进行散列加密，也可以加盐处理，对数据安全要求极高的话可以进行时间戳验证 => 这样就可以计算出加密的参数 secret:""

AppSecret = "YCsmvfdsfsaGuJCffdasfqzuAceNtF7o3XvnkRAoWCqX"

// 本篇只讨论 API 传输安全，不讨论 RESTFUL_API
RESTFUL_API_URL: https://netzhiji.com/api/v1/users

// 请求方式
Request_method: 'put',

// 请求头设置，针对服务器做用户鉴权验证
Request_header: {
    token: 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ',
}

//参数
params: {
    userID: '12',
    name: '刘紫阳',
    orderAddress: '城乡结合部'... 等参数
    secret:"此处参数通过 AppSecret秘钥加密得出"
} 

服务器接收到请求后回先通过相同算法计算出加密字段，验证参数中 scret 是否正确，如果不正确，则返回调用接口失败。

API 加密方式:

设计签名算法（具体 hash 次数可根据需求以及实现做出调节）

md5( md5( md5(按参数 key 降序排列拼接)3次 + md5(APP_SECRET)3次 )7次 + md5(盐:YUKhRjPmsnxho3kEkJszKrBXpsYZTDynwKxRfpG3xfZuq)6次 )3次

📍网络传输安全

说明： ：使用 Https 安全传输协议对传输数据进行加密

目的：防止 Api 被恶意抓取（如：下订单，支付接口）

集成方式：主要是后端要去申请 Https 的证书，有收费也有免费的，免费的推荐如国内 又拍云 SSL

解锁❤️姿势

SSL@2x.png

SSL引用自维基百科

Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), both frequently referred to as "SSL", are cryptographic protocols that provide communications security over a computer network.[1] Several versions of the protocols find widespread use in applications such as web browsing, email, Internet faxing, instant messaging, and voice-over-IP (VoIP). Websites use TLS to secure all communications between their servers and web browsers.

传输层安全协议（英语：Transport Layer Security，缩写：TLS），及其前身安全套接层（Secure Sockets Layer，缩写：SSL）是一种安全协议，目的是为互联网通信，提供安全及数据完整性保障。网景公司（Netscape）在1994年推出首版网页浏览器，网景导航者时，推出 HTTPS 协议，以 SSL 进行加密，这是 SSL 的起源。IETF将SSL进行标准化，1999年公布第一版TLS标准文件。随后又公布RFC 5246 （2008年8月）与 RFC 6176 （2011年3月）。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中，广泛支持这个协议。主要的网站，如 Google、Facebook 等也以这个协议来创建安全连接，发送数据。目前已成为互联网上保密通讯的工业标准。

简单来说就是一般接口传输如果采用了 TLS/SSL 加密协议后，别人就难以抓取到有效数据了。即使抓包抓到的也是乱码。

总结

通过以上三种方式并行，可以有效的提高我们手机端应用的安全性。以上为抛砖引玉，如果大家有更好的方法也欢迎在评论区提出互相学习。