REST WebService 通过IP过滤和签名字段来增强安全

给一个手机开发团队开了几个RESTful的web接口来修改我们数据库中的数据。

大致流程是   手机app发出请求->手机服务器逻辑判断->我这的服务器判断请求是否合法->修改我这的数据库

比如将ID为123的这条数据的状态码改成0，手机服务器直接访问这个链接：

111.111.111.111:9527/TestService.svc/StatusChange/123/0

之前只用了IP来判断，将对方服务器的IP设成了白名单，只要是这个IP传来的请求都通过

为了增加安全，又因为并发量不大，将这个服务修改了一下，增加了一个时间戳和签名验证。 这样感觉更安全一些。。。  现将这个签名过程的思路记录下来，免得久了忘记了。。。。。

请求url修改之后变成了：

111.111.111.111:9527/TestService.svc/StatusChange/{ID}/{STATUS}/{TIMESTAMP}/{SIGN}

（考虑到我使用的实际例子中数据很小，而且网络状况稳定，直接用的RSA加密。先生成了一对密钥。时间戳的格式是char14类型的，即20140101120000表示2014年1月1日12点整）

对方服务器调用步骤：

1. 组合数据  string data = "123020140101120000"; （ID STATUS TIMESTAMP  将这3个值直接组合起来）

2. 通过公钥将data加密 string sign = RSAEncrypt(data, publicKey); （这个公钥是实先双方约定好的）

3. 通过http访问调用服务 

111.111.111.111:9527/TestService.svc/StatusChange/123/0/20140101120000/A2D813E6C325983ADC4E74C581980AFE12A10D825574CC9A80E1E0607595276F24E37D84C5D650EC910160C11912CD43ED94F7359DA8F34F158EB0DF953FD0083E991D728E4BB7B32E0FFF582C8D899C8AE7F5452EB2E208D58F730B8E088E670495600B0042B45A6D31D2BA8450986954CFBDF566C6B49195594955C24B82DF 

，等待服务端的返回结果

本方服务端解析步骤：

1. 判断请求IP是否公司内网

2. 根据时间戳判断是否已过期（我配的是1分钟，可以根据网络等状况更改）

3. 和调用时一样的方法将ID，STATUS，TIMESTAMP组合起来  string data = "123020140101120000"

4. 用私钥将签名sign进行解密 string decryption = RSADncrypt(sign, privateKey)

5. 判断 decryption 和 data 是否一致 

6. 以上检查都通过后，才修改数据库，否则返回非法请求的警告