關於接口安全,一般非常簡單的作用,只是用戶驗證,即合法性檢查。我一個老同事一直這樣用,個人感覺也未嘗不可。每次請求接口的時候 驗證下access_token,比如這個token是個 md5值,再在這個值上面加幾個隨機數,這這值就不是MD5的值了,可破解的難道就大大增加了。
if($_POST['access_token']!=$access_token)
{
exit('access_token error'); //每次訪問接口的時候 必須先調用驗證token的判斷。
}
系統安全,https的使用,據說使用這個有一定的成本,包括客戶端執行效率成本和費用成本(需要向ca申請證書)。除非高要求的,一般不會採用這種方式。具體怎麼用,還不甚瞭解,需要學習學習。
1,傳輸過程中的安全問題
爲了防止在不安全的網絡環境下傳輸的數據被截獲和篡改,api 接口必須使用 https 協議(網上抄的,感覺不是很對,什麼叫必須)。
2,客戶端的安全問題
在客戶端對數據進行對稱加密再提交的意義是非常有限的,因爲key被暴露在客戶端代碼中。如果一定要加密,可以使用非對稱加密算法。客戶端加密的主要目的是避免關鍵數據以明文存儲於內存甚至磁盤中,防止這些數據被用戶篡改。
3,服務端的安全問題
這個問題涉及面太廣,關鍵就是不要信任任何從客戶端提交上來的數據(無論你的客戶端設計得多麼天衣無縫),每一個參數都要做校驗。
實際開發中,一個同事的做法是,md5加密當前日期,他再解密,這個應該是認證,但是數據並沒有加密。
