前面讲过:移动端与PHP服务端接口通信流程设计(基础版)
对于 api_token 的校验,其安全性还可再增强:
增强地方一:
再增加2张表,一个接口表,一个授权表,设计参考如下:
接口表
字段名 字段类型 注释
api_id int 接口ID
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
api_domain varchar(256) 所属领域
is_enabled tinyint(1) 是否可用 1:可用 0:不可用
add_time int 添加时间(戳)
(注:只列出了核心字段,其它的再扩展吧!!!)
授权表
字段名 字段类型 注释
client_id int 客户端ID
api_id int api编号
api_name varchar(120) 接口名,以"/"作为分割线,如 blog/Index/addBlog
is_enabled tinyint(1) 是否可用 1:可用 0:不可用
add_time int 添加时间(戳)
expire_time int 过期时间(戳)
(注:只列出了核心字段,其它的再扩展吧!!!)
执行过程如下:
1、移动端与服务端生成的 api_token 进行对比,如果不相等,则直接返回错误,否则,进入下一步;
2、根据接口URL,组装 api_name,再加上客户端传回的 client_id 为参数,查找 “授权表”记录,如果记录存在,且有效(是否可用,是否过期),则表示权限验证通过,返回接口数据,否则返回错误信息;
增强地方二:
对于一些很特殊的接口,怎么特殊,哪些算特殊,我也不知道,总而言之,就是感觉http请求有可能被劫取,传递参数有可能被窜改等情况,还是举个例子来说吧:
有个直接转账接口,页面上 我输入的是5元,表示我要给对方某某转账5元,结果在http传递过程中,被人劫取并窜改成了 10000元,而且入账对象改成了“黑客”的账号,那不是亏大发了,思考了一下,应该有2种方案解决这个问题,
方案一:走https,这个就不多说,比较公认的安全机制;
方案二:走数字签名,实现原理如下:
一个http请求,假如需要传递如下3个参数
参数名1=参数值1
参数名2=参数值2
参数名3=参数值3
我们可以再追加一个参数,该参数的名为 identity_key (名字是什么不重要),该参数的值为 前几个参数值按顺序相加,再加密后的结果。
即:
identity_key = md5('参数值1' + '参数值2' + '参数值3' + '加密密钥');
于是,最终传递的参数有:
参数名1=参数值1
参数名2=参数值2
参数名3=参数值3
client_id=client_id值
identity_key=md5('参数值1' + '参数值2' + '参数值3'+ 'client_id值' + '加密密钥')
服务端接到参数后,再按相同的加密规则重新生成一份 identity_key,服务端的identity_key和客户端的identity_key 进行校对,如果不相等,表示被窜改过,接下来怎么操作,自己看着办吧!
分享到:
相关推荐
这是一个外卖点餐系统,包括了移动端App、服务端(中台)和商家的后台管理,移动端为Android,服务端.net MVC搭建,数据库sqlserver。还原数据库,更改接口地址即可运行,还原数据库记得使用sqlserver 2014及以上。...
其中 client/ 为移动端程序的 DevEco Studio 元服务工程项目,server/ 则包含了负责生成回复的 reply-server.py 与一个负责与移动端及目标网站通信的 data-server.py 组成。 文件夹 utils/ 包括一个工具脚本 ...
在移动开发领域,Android平台与服务器端的交互是不可或缺的一部分,尤其在文件上传功能上,这对于用户来说是非常常见的操作,例如上传照片、视频或者文档。本项目提供的“修改好的移动端android和服务端java上传文件...
app如何与服务端进行通信?用什么格式?xml?json?或者其他?在更新的时候又如何更省流量呢?
该源码库为基于PHP的华为推送服务端接口封装设计,包含44个文件,其中35个为PHP代码,并附有5个Git忽略文件、2个Markdown文件、1个LICENSE文件和1个ini文件。它提供了一套服务端PHP示例程序,旨在简化华为推送服务的...
根据给定的文件信息,以下是91移动开发平台服务端与应用服务端接口规范的知识点总结: 1. 服务端接口规范概要: 文档介绍了91移动开发平台的服务器接口规范,包括服务器之间的交互流程和接口定义。开发者可以利用...
本教程将详细讲解如何利用AIDL实现客户端与服务端之间的跨进程通信,并通过"AIDLClient"和"AIDL"这两个文件名,我们可以推测这是两个关键的组件,一个作为客户端,另一个作为服务端。 首先,我们需要理解AIDL的基本...
"C语言实现客户端与服务端的通信" 在计算机网络中,客户端与服务端的通信是最基本也是最重要的一种通信方式。通过使用 socket 编程,我们可以实现客户端与服务端之间的数据交换。下面,我们将详细介绍如何使用 C ...
在IT行业中,客户端与服务端通信是网络应用的基础,它涉及到如何通过网络连接将数据从一个应用程序(客户端)传输到另一个应用程序(服务端),再返回响应。在这个过程中,安全性是至关重要的,特别是在处理用户敏感...
总结来说,"WCF客户与服务端通信Domo(winform)"是一个基础教程,展示了如何使用WCF在WinForm应用中创建服务和客户端,使得它们能相互通信。通过这个Demo,初学者可以学习到WCF的基本概念、服务的创建与配置、...
2. **客户端和服务端的通信流程** - 客户端首先发起连接请求,通过`socket()`函数创建套接字,然后调用`connect()`函数尝试连接到服务端。 - 服务端通过`socket()`创建套接字,使用`bind()`函数绑定IP和端口号,...
本文将深入探讨e4a与电脑易语言服务端之间的通信机制,帮助开发者理解如何实现两者之间的数据交互。 首先,让我们了解e4a的基本概念。e4a,全称是Easy for Android,它提供了一种类似Basic的编程语法,让开发者能够...
《Android商城平台:移动端与服务端源码解析》 在当今移动互联网时代,商城平台已经成为商业活动的重要载体。本文将详细解析一款名为“Android商城平台”的项目,它提供了移动端和服务端的完整源码,适用于Android...
在IT领域,特别是网络编程中,C++客户端与服务端之间的通信是构建分布式系统的关键技术之一。本篇文章将深入解析C++环境下实现客户端与服务端点对点通信的核心概念、设计模式以及具体实现细节。 ### 核心概念 在...
C# Socket通信(winform) 异步发送消息,服务端客户端通信,可以发送消息和文件并进行接收,代码注释详细 C# Socket通信(winform) 异步发送消息,服务端客户端通信,可以发送消息和文件并进行接收,代码注释详细 ...
消息队列在IT行业中是一种非常重要的中间件技术,主要用于实现客户端与服务端之间的异步通信。它通过在发送方和接收方之间建立一个缓冲区,将数据以消息的形式存储并转发,有效地解耦了系统组件,提高了系统的可扩展...
毕设&课设&项目&实训-从0到1实现全栈开发的步骤,包括数据的爬取,服务端接口的开发,UI设计,以及移动端的开发,从0到1实现一整套的流程 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、...
Socket实现客户端与服务端通信源码 程序说明: 开发工具:Visual Studio 2005 本程序演示了Socket通信的基本原理,非常适合初学者。程序分为两部分:服务器端与客户端,实际上客户端也可以充当服务器端,本程序两端...
这种技术在分布式系统中尤其有用,可以实现服务端与客户端的双向通信。在本文中,我们将深入探讨如何使用Net Remoting来构建一个简单但功能齐全的服务端-客户端通信模型。 首先,了解基础概念: 1. **对象激活**:...