亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

接口怎么能確定是自己的APP調用的及安全性?

接口怎么能確定是自己的APP調用的及安全性?

米琪卡哇伊 2018-10-03 22:19:58
1.接口使用一個key跟用戶id md5加密。然后加密后的sign當參數傳遞(這樣簡單的加密方式安全嗎?)。2.那么問題來了,那如果用戶的請求被抓到了,那不是別人也可以模擬請求。那如何知道請求是自己的APP發出的。如果只是請求頭上帶了app信息,那其他人也可以模擬。3.因為接口從app發出,用戶只有抓本地包才能看到這些信息。現在用戶被別人請求包的情況容易出現嗎?
查看完整描述

2 回答

?
慕婉清6462132

TA貢獻1804條經驗 獲得超2個贊

之前我看人家是這么做的,有個專門的接口獲取key,key的有效期是2天。
之后調所有的接口,token直接用key加上對應參數格式,進行md5加密。也就是說參數是不帶任何key的。
一般來說,包會請求很多次,參數都會有變化,token就會不一樣。
而且,就算拿到key,不知道對方的組裝方式也白搭。

查看完整回答
反對 回復 2018-10-14
?
HUWWW

TA貢獻1874條經驗 獲得超12個贊

  1. 強烈建議使用ssl來保護web api的通信安全,自己實現也未嘗不可,但是肯定是沒有ssl安全這是一定的。你這種做法會被中間人監聽,sign直接會被拿到利用。

  2. 可以模擬請求。如果對方都反編譯了你的app,鑒權過程都了解了,那么是絕對可以模擬的。

  3. 在沒有ssl保護的情況下http都是明文傳輸,這種情況不是只有本地才能監聽到。如果使用ssl保護通信安全的話,可以保證不被中間人監聽。關于是否容易出現那就看你這個app的價值了。

推薦題主去了解下:中間人監聽 重放攻擊


查看完整回答
反對 回復 2018-10-14
  • 2 回答
  • 0 關注
  • 1789 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號