一、正常不进行请求的加密方式:
app调用:http://api.test.com/api?参数1=1&参数2=2
此方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到信息,导致数据泄露,并有可能会被篡改数据,造成更严重的问题。那么如何验证调用者身份并防止参数被篡改呢?
二、使用MD5进行签名加密
加入一个对应的secret并在调用接口时进行数据验证
1、按照参数名把参数a:1,c:2,b:4进行首字母排序(可使用sort()方法进行排序)并进行拼接得到字符串a1b4c2
2、把secret加到字符串头部后进行MD5加密,加密后的字符串大写后得到签名Sign
app调用即为:http://api.test.com/api?Sign=FSFSDGASF&参数1=1&参数2=2
加入签名加密后请求多了key和sign参数,这样请求的时候就需要合法的key和正确签名sign才可以获取产品数据。这样就解决了身份验证和防止参数篡改问题,如果请求参数被人拿走,他们因为没有正确的secret所以无法进行数据篡改。
但是,如果他人拿到完整的请求,使用正常key和sign和一样的参数还是可以获取到数据
三、加入时间戳使请求具有唯一性
请求参数中,我们加入时间戳 ,同样,时间戳作为请求参数之一,也加入sign算法中进行加密。
timestamp = new Date().getTime();
app调用即为:http://api.test.com/api?Sign=FSFSDGASF×tamp=12341232123&参数1=1&参数2=2