APP接口设计安全问题

野性酷女 2022-07-21 02:47 184阅读 0赞

我的问题是，如果不做安全相关处理的话，一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的，毕竟要找到这些信息只要找个http包就可以了

系统无用户登录

新手问题（从来没做过服务端开发），如果可以，给几个主流方法的链接，多谢

直观总结方法二：

1.请求头里带用户username和password，到服务器端做验证，通过才继续下边业务逻辑。  
有点：防止了服务器端api被随意调用。  
缺点：每次都交互用户名和密码，交互量大，且密码明文传输不安全。

2.第一次请求，要求username和password，验证通过，种cookie到客户端，app保存cookie值。  
每次请求带上cookie。  
点评：和pc上浏览器认证的原理一样了。

以上两点，只有注册用户，才能有权访问业务逻辑，而app有大量的不需要注册数据api

3.制定一个token生成规则，按某些服务器端和客户端都拥有的共同属性生成一个随机串，客户端生成这个串，服务器收到请求也校验这个串。  
缺点：随机串生成规则要保密。  
比如:一个使用php框架的工程，框架每次交互都会有 module和action两个参数做路由，这样的话，我就可以用下边这个规则来生成token

app要请求用户列表，api是“index.php?module=user&action=list”  
app生成token = md5sum ('user'.'2012-11-28'.'\#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;  
实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”

服务器端接到请求用同样方法计算token，

<?php
    $module = $_GET['module'];
    $action = $_GET['action'];
    $token = md5sum($module.date('Y-m-d',time()).'#$@%!*'.$action);
    if($token != $_GET['token']){
        alarm('access deny');
        exit();
    }
    ?>

先提这三个，都在项目中用过。