AndroidApi设计工作专题

浅谈App开放接口api安全性设计—Token授权

2017-03-09  本文已影响664人  丿听听风

在聊这个之前 我想从微信开发的最初谈起,此篇章理论知识过多๑乛◡乛๑请慎重阅读


为什么要从微信开发说起呢,可能做过微信开发的小伙伴就知道,微信开发者文档中有一篇文章叫做

获取凭据篇 ,没做过的也没事,你就可以把这个东西当成是去动物园看动物的一张门票,有了这张门票

我们就可以使用他的接口,而我们今天要聊的就是如何去设计这张门票,也就是所谓的Token。

获取Token之前所需要的条件:

这里我们还是借用一下微信开发手册的图片一用,首先看图一的两个参数,一个是appid,secret,通俗来讲 你也把它当成是一个账号 密码,通过这个账号密码 我们去生成一个带有时间戳的token,appid,secret,存储位置可以放入项目配置文件也可以放入数据库,具体看需求,

之前我有个游戏支付sdk项目就是需要给每个游戏分配不同的appid 跟  secret ,有点类似微信的每个公众号都会有不同的appid,secret同理。

生成token的方式

接口token生成规则参考如下:

api_token = md5 ('模块名' + '控制器名' + '方法名' + '时间戳' + 'appid'+'加密密钥') = 770fed4ca2aabd20ae9a5dd774711de2

也可以采用下图方式(拼装请求参数)做成一条签名,类似支付宝的接口使用):

(图:为N久前写的验签方法,别太在意代码,探讨的只是一种思路)


当然这点上并没有任何要求 你必须采用什么方式,重要的是时间戳一定需要,好比你说人家拿到了一张动物园的门票,如果没有时间限制,也就是到期时间,那么人家抓取到了你接口中的token 将可以一直使用你的接口,而如果有过期时间的话,只需要做个时间对比,比如过期时间为2个小时,那2个小时后将不在可以使用该接口。

验证token (也就是所谓的验签)

验签其实并不麻烦,这并不是什么代码层次的高深技术,仅仅只是一种思路。每个人可以具备不同的思路,简单来说就是带上你的token(或者签名) 来请求我的验签方法(验证token) 的方法,

同样的用我们自己定义好的生成token(sign)的方式 和 现在传过来的token (sign) 参数 做一个比较(IF 判断)。 两者是否相同,相同即为通过。如果appid 跟 secret 不对 是不可能通过的,也就是说拥有 你分配 appid 跟secret的 授权客户端才有权限用你的接口。 

注:

记得一定要验证token失效时间。(PHP+JS+UI--交流/招聘 499125737)

上一篇下一篇

猜你喜欢

热点阅读