某rr二手车签名探究
2018-04-26 本文已影响0人
frank3
本着学习的态度,取他人之长,站在巨人的肩膀上前进,对rr的app进行探究。
- rr的app签名的方式长处:
a. 服务器端持有一个token,获取后不在请求中不在传输,且存在实效性,约5m(不够精确)
b. 对传输参数简单加密,并使用token进行数据签名(多次)
c. 使用随机数进行混淆,并重排个分组数据,形成secret参数
总结:
- 上述a的策略相对比较好,可以在服务器端控制token, 不是写死在app中(参见gz二手车), 但是这样也给服务器端的设计增加了负担,需要设计快速查询token的存储等问题。
2.上述b的策略给破解带来了一点困难,值得肯定。(然而有些app就是明文参数加签名,参见gz二手车) - 加密数据进行混排,这个操作又是一大进步,给简单加密多了一个小保护。