APP接口设计安全问题
来源:互联网 发布:淘宝店铺女装海报素材 编辑:程序博客网 时间:2024/04/28 02:01
用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了
系统无用户登录
新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢
直观总结方法二:
1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
有点:防止了服务器端api被随意调用。
缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。
2.第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
每次请求带上cookie。
点评:和pc上浏览器认证的原理一样了。
以上两点,只有注册用户,才能有权访问业务逻辑,而app有大量的不需要注册数据api
3.制定一个token生成规则,按某些服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器收到请求也校验这个串。
缺点:随机串生成规则要保密。
比如:一个使用php框架的工程,框架每次交互都会有 module和action两个参数做路由,这样的话,我就可以用下边这个规则来生成token
app要请求用户列表,api是“index.php?module=user&action=list”
app生成token = md5sum ('user'.'2012-11-28'.'#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;
实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”
服务器端接到请求用同样方法计算token,
<?php$module = $_GET['module'];$action = $_GET['action'];$token = md5sum($module.date('Y-m-d',time()).'#$@%!*'.$action);if($token != $_GET['token']){ alarm('access deny'); exit();}?>
先提这三个,都在项目中用过。
- APP接口设计安全问题
- APP接口设计安全问题
- APP接口设计安全问题
- APP接口设计安全问题
- APP接口设计安全问题-app接口鉴权
- 关于APP接口设计
- 关于APP接口设计
- 关于APP接口设计
- 关于APP接口设计
- 关于APP接口设计
- 关于APP接口设计
- App接口设计原则
- 关于APP接口设计
- App接口的设计
- 关于APP接口设计
- APP接口安全设计
- APP接口安全设计
- APP接口设计,验证
- 跨进程消息以及数据发送
- 将Map中的key和values转化为List
- 我的梦想是什么?
- mina框架分析:自定义编码解码
- 转载--redis
- APP接口设计安全问题
- 嵌入式Linux的GDB远程调试的实现
- Hadoop HDFS (2) HDFS概念
- Quartz教程一:使用quartz
- 利用compareTo实现版本号判断
- Insertion Sort List
- 哈希表Hashtable与字典表Dictionary<K,V>的比较。(多线程推荐hash,单线程推荐dictionary)
- 深入浅出MyBatis-Sqlsession
- flexview自定义一个popup窗口显示在地图