• 欢迎浏览“String me = Creater\忠实的资深Linux玩家;”,请文明浏览,理性发言,有侵犯你的权益请邮件我(creater@vip.qq.com).
  • 把任何的失败都当作一次尝试,不要自卑;把所有的成功都想成是一种幸运,不要自傲。
  •    2年前 (2016-11-19)  Android |   抢沙发  31 
    文章评分 0 次,平均分 0.0
    • 方案一 (客户端token方式)
    • 客户端生成token传给服务端校验,一致就通过用户验证。
      通过时间戳+用户唯一标识+MD5加密=token(算法自定义),并且把时间戳传给后台,后台通 过后台系统的时间戳和客户端传过去的时间戳可以规定当前用户在1分钟内这次接口可以正常使用,也就是 说,当黑客从路由获取到连接后,只有1分钟的时间可以使用这次接口(时间后台可以自定义),这样很大程度 上确保了接口的安全性,同时,这种方式也可以有效的解决用户登入过期,也就是使用session的方式的不足,但是有个问题,如果客户端和服务端系统时间不一致,就不能这样用了,所以这个时间戳如何获取,也是一个关键点,可能通过接口从后台接口获取,也可以使用其他方式,有好的建议可以一起探讨

    • 方案二 (服务端token方式-session)
    • 这种方式用得是最多的,但是有个前提,用户登入接口一定要安全,也就是各种加密处理登入,后台返回sessionId作为token,客户端携带token命牌请求接口,后台从session中拿到sessionId和参数中的sessionId去验证一致性通过用户验证,这样其他人就算拿到这个链接通过其他客户端去调接口是不会成功的,因为每个客户端的session是不一样的,那么这种方式的缺点就是sessin过期的问题,客户端用户调接口时有可能登入已经过期了,解决的办法就是接口规范了,也就是后台要返回用户登入是否过期的字段,客户端通过这个字段判断是否跳转到登入页面。这种处理方式也是和网站的处理方式差不多一致的
      以上两种方式是用户需要登入APP的用户数据安全问题解决办法
      另外,对于接口参数加密处理是一般性的安全问题,以免太多数据信息暴露给外界,防止别人篡改参数拿去调接口,所以参数加密再配合上述两种方式去做接口安全,是很有意义的。

     

    除特别注明外,本站所有文章均为String me = "Creater\忠实的资深Linux玩家";原创,转载请注明出处来自http://unix8.net/home.php/5280.html

    关于

    发表评论

    暂无评论

    切换注册

    登录

    忘记密码 ?

    切换登录

    注册

    扫一扫二维码分享