app接口安全方案：

• https代替http尽量避免在网络传输过程中的数据泄露

• 主要包括受限资源的授权:当前系统的token机制

• 防止抓包进行数据篡改:url验签；客户端将所有请求参数（附加时间戳）按一定规则排序后进行不可逆加密（md5）生成签名sign一起传给服务端，后端接到请求后按照相同规则取出参数生成sign和客户端传过来的作比较，如果不一样，则请求无效；

• 防止抓包后恶意攻击：根据传过来的请求中的时间戳做校验，超过一定时间则认为请求无效，为了保持客户端时间与服务端时间保持一致，建议app端有一个自己的时钟与互联网时间保持一致，而不是取可以手机的系统时间。

• 加签请求流程图如下：

  
  加签请求流程.png