API接口加密方式说明

一、文档说明

本文档适用于api接口开发人员、移动端开发人员，针对移动端请求API接口时加密方式以及加密规则进行说明。

二、加密方式

1．不采取非对称加密说明

好处：

相对于对称加密，非对称加密安全性远远高宇对称加密，能够保证在数据传输中数据被劫持之后不被破解。

缺点：

由于非对称加密 [ openssl rsa ]，密钥为1024bit时候最多值能加密117个字符，而且加解密相对于对称加密速度会慢，目前接口和app交互数据较多时候，只能采取分段加密之后拼装，解密时候也需要分段解密，不适用当前使用场景。

 

2．非对称加密方式说明

（1）加密算法说明

 

加密算法：AES

加密模式：CBC

填充方式：PKCS7

加密密钥：BeijingIyijigo.com

       初始化向量[ IV ]：00000000000000000000000000000000

具体实现可以参考链接 ： http://www.funboxpower.com/php_android_ios_aes#codesyntax_2

（2）接口加密说明

(1)、移动端请求接口时，将数据通过POST提交到接口，

(2)、将接口需要的参数拼成数组

(3)、将数组json_encode之后

(4)、加密之后拼装为data数据传递给接口。

（3）其他参数说明

(1)、移动端请求接口的时候需要将终端类型(tt)传递给接口,建议和data数据平级。

(2)、移动端请求接口的时候需要将终端版本号(vc)传递给接口,建议和data数据平级。

例如获取用户信息接口：

http://xxx.com/user/getUserInfo?data=encrypt(json(array))&tt=1&vc=1;

 

（4）SIGN值加密以及校验说明

将请求接口需要的参数排序后的json串MD5传递给接口。

 

校验值生成步骤：

① 将接口需要的参数组装成数组 【IOS为字典，android为hashmap 】

② 将接口参数排序之后，将Key_value拼接为一个字符串

arr = array( ‘a’=> 1, ‘b’=>2)；

拼装之后为a1b2

③ 将拼接的串MD5

④ 将加密之后的MD5值作为请求接口的参数传递 ( 和data，tt，vc 平级 )

备注：

用于对请求参数进行校验，接口在接收到参数时，需要对参数进行排序，json之后进行MD5校验，接口参数不强制要求按照文档顺序，校验值必须排序之后再进行MD5加密，防止在传输过程中被截断篡改，接口不强制对参数顺序进行校验。