app Sign(签名)认证

有个兄弟在群(136351212)里问，有人在恶意调用app里的短信接口，主要是在app上而且是原生的代码，没有办法在app上限制或者让用户更新app，只能从服务端限制ip的方式来处理，我给出的方法是，一个ip能30分钟内只能调用短信接口几次。
这就引出app与服务端接口安全的问题了上面的兄弟估计没有带安全认证直接get或post接口
如：http://www.phpsong.com/?参数1=value1这种方式简单粗暴，信息泄露或者被黑客劫持数据，那你的接口的全部暴露了
解决方法接口带安全签名
设计Sign表 字段
id appid secret model versionid 自增长idappid appid不能重复 intsecret 加密随机的 stringmodel 调用的哪个接口 stringversion 接口的版本 string
我以上面的短信接口为例app端处理
$appid='123456';$secret='sdfawerdvzsdfasdfsadfadf';$model='SMS';$version='v1';$timestamp=time();
//根据上面的参数等到一个签名
$sign=md5($appid.$secret.$model.$version.$timestamp);
加密之后的链接
http://www.phpsong.com/?appid=$appid&sign=$sign&model=$model&version=$version&timestamp=$timestamp
每秒调用接口都是改变sign(签名)，黑客劫持到了数据也没有用
服务端处理
根据appid去查到secret的数据，然后根据客户端的加密方式，得到一个sign(签名)，和客户端传过来的参数做对比一样就继续下面的数据调用，错误就直接结束程序

QQ交流群：136351212
查看原文：http://www.phpsong.com/2281.html