关于app的api接口安全

首先提出三个问题：

1. 怎么知道身份是否合法
2. 参数是否被篡改
3. 确保身份的唯一性

为了解决上述几个问题，我们就要进行数据签名了。

通过多种算法对数据进行加密处理，确保身份的合法，常见的算法有：md5、SHA1、RSA。RSA算法会产生一对秘钥，其中私钥掌握在服务端，公钥掌握在客户端。

对于多个参数进行排序，可以在一定的程度上防止篡改，顺序不一样，加密出来的结果也会不一样。

身份的唯一性，就需要添加时间戳。确保身份在一定时间内有效，时间超过则需重新申请。

数据签名就是综合上面的解决方法，从而形成的一段字符串。通常来说，服务端和客服端会约定一串无意义的字符，和数据一起进行加密，并且这段字符不会进行传输，会有效的防止数据被破解。

首先对参数，无意义的字符串，时间戳用商定好的算法进行加密，可以采用不同的算法多次加密；然后把加密后得到的字符和参数，时间戳，拼接成一段新的字符串用RSA进行加密，服务端接收以后用RSA的私钥进行解密，提取其中的参数和时间戳，对其进行和客户端一样的加密，得出来的字符串和传输过来的字符串进行比较，一样则说明没有被篡改，可以进行后续的处理。