参考书籍:《App后台开发运维和架构实践》
作者:曾健生
App操作中经常涉及用户登录操作,用户登录就需要使用用户名和密码。
那么问题来了:
登录过程中怎样才能最大程度地避免泄露用户的密码的可能呢?
用户登录后,App后台怎么去验证和维持用户的登录状态呢?
基本的用户登录方案
基本流程:
1.用户登录操作;
2.用户登录后验证身份的操作;
3.用户退出登录的操作。
转换为计算机的操作:
1.App后台接收到App发送的用户名和密码后,验证用户名和密码是否正确。如果错误返回错误信息。
2.如果App后台验证正确,生成一个随机的不重复的
token字符串(例如:daf32da456hfdh),token字符串作为用户的唯一标识(token就是上面例子中提到的钥匙)。
3.在Redis中建立token字符串和用户信息的对应关系,例如,
token字符串和id为6的用户对应。
4.App后台把
token字符串和用户信息返回给App,App保存这些数据作为以后身份验证的必备数据。
5.需要验证用户身份的操作必须要把
token字符串传给App后台验证身份。
eg:test.com/user/update?token=daf32da456hfdh
6.当用户退出登录时,通过调用退出登录的API,让App后台把用户对应的
token字符串删掉。
注意:
身份验证依赖于token字符串,如果用户泄露了自己的URL,那token也有很大可能泄露。改进方法,就是不在网络上传输token,这种方法叫做URL签名。
URL签名
1.App后台中用户名和密码验证正确后,把token字符串和用户信息返回给App。
2.App用token字符串和URL的md5值作为URL签名sign。
eg:sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh")= 6dac4026135a123a3cf809a1f1bf1d2a
API请求加上URL签名sign和用户id后如下所示:
eg:test.com/user/info?userId=5&sign=6dac4026135a123a3cf809a1f1bf1d2a
这样token就不需要附在URL上面。
注意:上述URL签名方法有一个问题:因为API请求没有过期时间,如果黑客截获了这个API请求的URL,就能反复调用了。改进方法是在传递的参数中增加时间戳,当后台发现这个时间戳相隔当前时间很久的,就判断这个URL已经失效。
那App端的时间可能和后台的时间不一致,所以,为了保证一致,App每次启动时通过API获取App后台的时间,保存App端和后台的时间差,App端就用这个时间差调整其生成时间戳。
eg:App后台某一刻时间是1444692778,App时间是1444692775,时间差为3,当App端在时间为1425860754向后台发送API请求时,时间戳为:1425860757。
App用
token字符串和时间戳生成的md5值作为URL签名sign。
eg:sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh&timeStamp=1425860757")= 6dac4026135a123a3cf809a1f1bf1d2a
API请求加上URL签名sign和用户id后如下所示:
eg:test.com/user/info?userId=5&timeStamp=1425860757&sign=6dac4026135a123a3cf809a1f1bf1d2a
API请求使用了HTTPS协议也不能保证绝对安全,万一基于HTTPS的API请求被黑客截获,使用URL签名会有3个问题:
- 当用户登录后,App后台返回给App的信息没加密,有被截取的风险。
- URL签名只能保护token值不泄露,但没法保护其他敏感数据。
- URL被黑客截获后还是能在一段时间内调用。
使用AES对称加密可以解决上面3个问题。
AES对称加密
1.原理:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
2.格式:AES加密(data,secretKey)
3.AES算法加密App后台返回的token
- 用户登录后获得个人信息。
eg:{"userId":6,"name":"Home","token":"daf32da456hfdh"} - 用时间戳生成HTTP请求头Token-Param。
eg:Token-Param:1425860757 - 取请求头的22位长度作为密钥secretKey。
- 用AES算法把个人信息用密钥加密,再进行base64位编码,最后用HTTPS协议返回给App。HTTPS协议内容如下:
| HTTP URL | https://test.com/API/login |
| ------------- |:-------------:|
| HTTP返回方式 | post |
| HTTP返回头 | Token-Param:1425860757 |
| HTTP body | Base64Encode |
4.客户端解密App后台返回的内容:
- 取HTTPS协议中的Token-Param作为密钥。
- 把HTTP body的数据先用base64算法解码,用AES算法把解码后的数据用密钥解密,获取个人信息。
5.AES算法加密请求过程中所有的敏感数据
AES同时加密了token和用户数据两方面的数据。
例如客户端加密更新用户昵称:
- 客户端昵称数据
- 客户程序中得到当前的时间戳
- 用时间戳生成请求头
- 取请求头的22位长度作为密钥,用AES算法把
token用密钥加密,再用base64编码得到新的HTTP请求头Token-Data。 - 用
Token-Data作为密钥2,用AES算法把昵称数据用密钥2加密,再用base64编码得到HTTP body。
网友评论