1、登錄(發送用戶名密碼/APPID SECRET 加密串)獲取TOKEN,(TOKEN作用就是爲了對應UID,是已登錄過的標識,後續請求都要帶上)
2、發送其他請求時將參數按約定排序(加上TIMESTAMP(用來判斷TOKEN是否超時) TOKEN參數),加上SECRET進行MD5加密SIGN簽名,這樣別人無法僞造修改URL
和WEB系統的區別?
WEB登錄是SESSION機制,依賴客戶端的COOKIE,APP中如果要用SESSION要自己維護COOKIE且關閉APP後COOKIE會被清空。
瀏覽器請求每次都會帶上COOKIE,效率低
數據包被監聽重放攻擊?
關於防止重放攻擊,目前主流做法,要求通信雙方必須事先協商一個初始序列號,並協商不易被破解的遞增方法
獲取服務器保存一個上次訪問時間,如果後來的訪問比這個前就是非法
用戶密碼脆弱MD5容易被破解?
系統設置一個固定的鹽值,該鹽值最好足夠復,拼接後再進行2次MD5
對業務數據雙方都用APPID SECRET進行對稱加密更安全,如果使用HTTPS傳輸更難破解
服務器對於超過一定次數錯誤請求的讓TOKEN失效
客戶登錄時服務器除了返回TOKEN,也可以返回附加的證書服務器合法性的字段