移动应用后端开发经验4-通讯的安全性
在app的后台设计中,一个很重要的因素是考虑通讯的安全性。
因此,我们需要考虑的要点有:
1.在app和后台,都不能保存任何用户密码的明文
2.在app和后台通讯的过程中,怎么保证用户信息的安全性
在app中,根据安全考虑,用户的操作分为两类:
1.用户登录注册操作
2.用户的其他操作
在第一点,用户登录注册操作中,是会出现用户密码,所以在这个过程中,必须要使用https通讯,保证通讯的安全。
在第二点,用户的其他操作,怎么保证这部分通讯的安全呢?
在我的设计中,是采用了公钥加私钥保证安全。用户的id是公钥,通过一定的算法对用户的id进行加密得到一个加密字符串是私钥。当用户登录或注册后,通过https把公钥加私钥返回给app客户端。
这个过程如下:
Use the printf() function.
There is a literal backtick (`) here.
AT&T
1,"page"=>20,"count"=>1)
equivalent of —.
*
* app在传递给服务器的参数中,加上使用generateVerfyCode生成的VerfyCode,
* 所以发送给服务器的url应为
* http://www.test.com/api/home/feed/count/1/page/20/id/1/verifycode/95aa9066d5801815a57bbe537280406b5516cb2a
*
* 服务器根据这个url和参数用同样的算法生成VerfyCode,
* 对比app传过来的VerfyCode和服务器生成的VerfyCode,就知道url在传输的过程中是否有被改动
*
* @param $apiUrl api的url
* @param $param url中附带的参数
* @param $token 根据id获取的私钥
*/
function generateVerfyCode($apiUrl,$param,$token){
$params_data = "";
$params_data.=$apiUrl;
ksort($param);
foreach( $param as $key=>$value ){
$params_data=$params_data.$key.$value;
}
$params_data = $params_data.$token;
return sha1($params_data);
}
echo generateVerfyCode("http://www.test.com/api/home/feed/",array("id"=>1,"page"=>20,"count"=>1),"23423242342432");
//result 95aa9066d5801815a57bbe537280406b5516cb2a
