美文网首页AndroidApi设计工作专题
浅谈App开放接口api安全性设计—Token授权

浅谈App开放接口api安全性设计—Token授权

作者: 丿听听风 | 来源:发表于2017-03-09 11:53 被阅读664次

    在聊这个之前 我想从微信开发的最初谈起,此篇章理论知识过多๑乛◡乛๑请慎重阅读


    为什么要从微信开发说起呢,可能做过微信开发的小伙伴就知道,微信开发者文档中有一篇文章叫做

    获取凭据篇 ,没做过的也没事,你就可以把这个东西当成是去动物园看动物的一张门票,有了这张门票

    我们就可以使用他的接口,而我们今天要聊的就是如何去设计这张门票,也就是所谓的Token。

    获取Token之前所需要的条件:

    这里我们还是借用一下微信开发手册的图片一用,首先看图一的两个参数,一个是appid,secret,通俗来讲 你也把它当成是一个账号 密码,通过这个账号密码 我们去生成一个带有时间戳的token,appid,secret,存储位置可以放入项目配置文件也可以放入数据库,具体看需求,

    之前我有个游戏支付sdk项目就是需要给每个游戏分配不同的appid 跟  secret ,有点类似微信的每个公众号都会有不同的appid,secret同理。

    生成token的方式

    接口token生成规则参考如下:

    api_token = md5 ('模块名' + '控制器名' + '方法名' + '时间戳' + 'appid'+'加密密钥') = 770fed4ca2aabd20ae9a5dd774711de2

    也可以采用下图方式(拼装请求参数)做成一条签名,类似支付宝的接口使用):

    (图:为N久前写的验签方法,别太在意代码,探讨的只是一种思路)


    当然这点上并没有任何要求 你必须采用什么方式,重要的是时间戳一定需要,好比你说人家拿到了一张动物园的门票,如果没有时间限制,也就是到期时间,那么人家抓取到了你接口中的token 将可以一直使用你的接口,而如果有过期时间的话,只需要做个时间对比,比如过期时间为2个小时,那2个小时后将不在可以使用该接口。

    验证token (也就是所谓的验签)

    验签其实并不麻烦,这并不是什么代码层次的高深技术,仅仅只是一种思路。每个人可以具备不同的思路,简单来说就是带上你的token(或者签名) 来请求我的验签方法(验证token) 的方法,

    同样的用我们自己定义好的生成token(sign)的方式 和 现在传过来的token (sign) 参数 做一个比较(IF 判断)。 两者是否相同,相同即为通过。如果appid 跟 secret 不对 是不可能通过的,也就是说拥有 你分配 appid 跟secret的 授权客户端才有权限用你的接口。 

    注:

    记得一定要验证token失效时间。(PHP+JS+UI--交流/招聘 499125737)

    相关文章

      网友评论

      • 指尖流年:在实际的app中,如果设计了用户token过期时间,用户是不是还需要继续登录?
        指尖流年: @丿酱汁 生成token的接口,一般怎么设计?每次重新获取token就带着用户名和密码吗?
        丿听听风:如果token过期了,将重新发起请求调用你生成token的接口,生成一个新的token ,在带上这个新的token 去使用你的其他接口,避免拿到你的token重复使用。
      • liunewshine:更换body中的数据,token原样返回照样验证通过,怎样防止呢?

      本文标题:浅谈App开放接口api安全性设计—Token授权

      本文链接:https://www.haomeiwen.com/subject/fjewgttx.html