最新消息:欢迎加入小松的QQ群一起讨论一起学习,搜索的服务器网络有问题,导致搜索的功能没有办法用,现在已经修复了

app Sign(签名)认证

PHP 464浏览 0评论

app Sign(签名)认证

有个兄弟在群(136351212)里问,有人在恶意调用app里的短信接口,主要是在app上而且是原生的代码,没有办法在app上限制或者让用户更新app,只能从服务端限制ip的方式来处理,我给出的方法是,一个ip能30分钟内只能调用短信接口几次。

这就引出app与服务端接口安全的问题了
上面的兄弟估计没有带安全认证直接get或post接口

如:http://www.phpsong.com/?参数1=value1
这种方式简单粗暴,信息泄露或者被黑客劫持数据,那你的接口的全部暴露了

解决方法接口带安全签名

设计Sign表 字段

id appid secret model version
id 自增长id
appid appid不能重复 int
secret 加密随机的 string
model 调用的哪个接口 string
version 接口的版本 string

我以上面的短信接口为例
app端处理

$appid='123456';
$secret='sdfawerdvzsdfasdfsadfadf';
$model='SMS';
$version='v1';
$timestamp=time();

//根据上面的参数等到一个签名

$sign=md5($appid.$secret.$model.$version.$timestamp);

加密之后的链接
http://www.phpsong.com/?appid=$appid&sign=$sign&model=$model&version=$version&timestamp=$timestamp
每秒调用接口都是改变sign(签名),黑客劫持到了数据也没有用

服务端处理

根据appid去查到secret的数据,然后根据客户端的加密方式,得到一个sign(签名),和客户端传过来的参数做对比一样就继续下面的数据调用,错误就直接结束程序

QQ交流群:136351212

如无特别说明,本站文章皆为原创,若要转载,务必请注明以下原文信息:
转载保留版权:小松博客» app Sign(签名)认证
本文链接地址:https://www.phpsong.com/2281.html

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
木有头像就木有JJ!点这里按步骤申请Gravatar头像吧!