android 常用api 接口签名验证

从登录注册说起该验证的全部过程：

1.android 登录时一般是这样：

loginData.put("name", userNameText.toString());
loginData.put("password", passWordText.toString());
loginData.put("platform", "android");
//同步方式
try {
    //调用登录接口网络请求
    JSONObject response = okHttpManager.post(login_url, loginData);

2.在客户端在登录成功时 记录 以下信息

//保存用户信息, 常用的单独保存
PreferenceManager pm = PreferenceManager.getInstance();
pm.setString("user_id", loginDetail.getString("user_id"));
pm.setString("app_token", loginDetail.getString("app_token"));
pm.setString("app_ticket", loginDetail.getString("ticket"));
pm.setString("userinfo", loginDetail.toString());

那服务器端返回的app_token 以及ticket 是怎么产生的呢 有什么作用呢？????

3.服务器端 接收到登录信息后应该是这样处理：

//生成token
$app_token  = empty($userInfo['app_token']) ? $this->genAppToken($retParams['name'], $retParams['platform']) : '';

这个时候将更新users表 的 app_token字段。

//生成ticket
$ticket = $this->genAppToken($userInfo['user_id'], $userInfo['mobile']);

这个时候判断check_online表 有没有该条数据，如果没有将其插入到online_user表中，该表的设计应该是这样：

id	user_id	ticket	expire_time	platform

(这个表的作用是记录成功登录 也就是正在线上的表，如果登出的话就应该将这条记录删除)

并将（userid跟ticket）做索引
（所以判断用户是否在线 可以通过user_id 或者通过ticket 做判断）

这个genAppToken 可以用md5 或者sha 都行，反正就是单向加密的都可以,这个时候可以进行api 接口签名验证工作

客户端逻辑跟服务器端逻辑相似

服务器端如下：

api的话需要区分是否需要登录的接口 所以这块需要做到免验证判断：如下可以实现

$loginArr  = array('login', 'register', 'mobile_verifycode_login', 'forget_password', 'send_email', 'createSMS', 'check_exis    ts', 'notifySync', 'wx_auth_register','wx_auth_login');
 60             if (!in_array($method, $loginArr)) {
 61                 $this->load->model(array('User_model'));
 62                 $operator      = $this->isLogin();
 63                 $this->operator = array(
 64                     'user_id' => (int)$operator['user_id'], 'ticket' => $operator['ticket']
 65                 );
 66             }

简单的对数组进行添加就可以实现添加免验证的接口，根据上面做的online_user表的工作，很显然能知道 判断一个用户是否已经登陆 只要根据他的user_id 或者ticket就能够判断，如果不在线 则跳到登录页

在免接口验证中，显然不能通过ticket 来进行对用户的区分，所以我们用了sign签名的方式来解决API签名的一些问题

• 请求参数是否被篡改
• 请求来源是否合法
• 请求是否具有唯一性

所以加签策略可以如下所示：

$sign  = $params['sign'];
269         $timestamp  = $params['fx_timestamp'];
270         $secret = “123sqweqweq“;    //换成自己的secret
271


272         $app_ticket = $this->input->get_post(COOKIE_TICKET);
273         $app_token  = '';
274         if (!empty($app_ticket)) {
275             //获取app_token
276             $cacheData  = $this->ciredis->hGetAll('online:ticket:' . $app_ticket);
277             $userInfo  = $this->User_model->get(array('user_id' => $cacheData['user_id']));
278             $app_token = !empty($userInfo['app_token']) ? $userInfo['app_token'] : APPSECRET;
279         }

客户端往服务器端传参数的时候，对其是否传app_ticket 做判断，如果有 则用这个app_ticket 对表或者缓存中去app_token （要注意 app_ticket 跟app_token不能放在一个缓存或一个表中，还是需要user_id做关联）

//过滤掉sign
285         unset($params['sign'], $params['s']);
286         //排序
287         ksort($params);
288         reset($params);
289
290         //拼接字符串
291         $arg = "";
292         while (list ($key, $val) = each($params)) {
293             $arg .= $key . "=" . $val . "&";
294         }
295         $arg    = rtrim($arg,'&');

先保存起来用户传递的签名，需要服务器端用自己的方法生成签名，然后跟客户端传来的签名做匹配，如果成功就通过，否则就报签名错误

一般服务器端验证签名步骤都是这样：

1.先排序ksort

2.拼接字符串 foreach($params as $key=>$val) {
$arg .= $key.”=“.$val.”&”;
}

3.然后对拼接完的字符串再加一段随机数进行md5 或者 sha 加签,类似如下:

key = “123aqwqw”;
$newSign = sha1($arg.”$key”);

这个时候得到的newSign 就是服务器所生成的sign（当然其中的加签字符串可以设置长些复杂些）;
那这个newSign 跟客户端传过来的sign 做匹配 。相同则通过。

这样做的好处如下：

newSign 是根据所传递的参数进行加密的 所以 当其他人更改参数的时候，服务器端产生的newSign 必定与客户端传递的sign 不同，签名则不匹配
这个时候 就会有人问 ==如果我劫持了客户端的代码 同时获取了客户端的加签程序，不就可以更改客户端的sign了吗。==

是这样的，所以android 经常使==用jni 用c写一套加签的流程==，这块代码是反编译不能获取不到的（==这块代码是编译到so 文件中的==），所以保证了客户端的代码安全

客户端代码如下：

secret  = PreferenceManager.getInstance().getString("app_token");
ShowLog.e(url);
addTicketToParams(params);
buildSign(params);

在网络请求的地方进行加ticket 加 sign（网络请求这块必须要做成==公共调用==，这样才能实现对接口访问的统一，可以做成单例模式。）

secret 作用是获取登录那会保存的app_token,
addTicketToParams 用来对params 进行加入ticket ，这个ticket 也是使用登录保存的ticket

重点在==buidlSign==这个部分。

params.put("timestamp", Long.toString(timestamp));
params.put("appsecret", secret);

Map<String, String> sortedParams        = new TreeMap<String, String>(params);
Set<Map.Entry<String, String>> entries  = sortedParams.entrySet();

StringBuffer buffer = new StringBuffer();
byte[] bytes    = null;
try {
    for (Map.Entry<String, String> entry : entries) {
        if (buffer.length() > 0) {
            buffer.append("&");
        }

        buffer.append(entry.getKey()).append("=").append(entry.getValue());

获取时间戳以及获取之前的secret 也就是app_token
然后也跟服务器端一样 遍历并挨个加＝以及& 然后这时候加入jni 的编写的c语言程序加参
跟服务器端逻辑类似 只是用c 来实现服务器端php语言的实现效果
这个时候会返回一个字符串sign，然后

arams.remove("appsecret");
ShowLog.e(params.toString());
params.put("sign", doencrypt(buffer.toString()));
ShowLog.e(params.get("sign"));

将这个字符串加入sign 并与服务器端交互

这就是整个API接口签名验证的整个过程。

这块要注意的点在于不管是需要验证还是免验证的接口 必须让app_ticket 以及app_token 成对出现(要么都有 要么都没有)
文章出处：https://www.ci92.com/Index/Blog/detail?id=17