摘要:在開放給第三方使用的中����,如果讓第三方攜帶明文的請(qǐng)求服務(wù)���,極有可能泄漏���。由于第三方身份驗(yàn)證服務(wù)器是依賴于的���,這樣會(huì)造成不良的后果。
在開放給第三方使用的API中�����,如果讓第三方攜帶明文的token請(qǐng)求服務(wù)�,極有可能泄漏token。由于第三方身份驗(yàn)證服務(wù)器是依賴于token的�����,這樣會(huì)造成不良的后果�����。為了提高通信的安全性�����,我們需要加密token�����,就是URL簽名了���。
實(shí)現(xiàn)URL的簽名過程
生成URL簽名的signature����,假設(shè)第三方獲取到token后�,token=“aff9u87kkk444hjg”,openId=8996�,將要調(diào)用的API路徑是zithan.test/user/show,那么URL簽名如下:
signature=md5("zithan.test/user/show?openId=8996&token=aff9u87kkk444hjg")
組合API的路徑
zithan.test/user/show?openId=8996&signature=1aba61306711521e8b52ac2f46bb3ebf
但是現(xiàn)在還有一個(gè)問題���,就是重放攻擊�����,沒有過期時(shí)間����,假設(shè)非法者截獲了這個(gè)API路徑����,就能反復(fù)調(diào)用這個(gè)路徑。 改進(jìn)方法是增加時(shí)間戳��,增加API路徑的時(shí)效性。
signature=md5("zithan.test/user/show?openId=8996&token=aff9u87kkk444hjg×tamp=1550732083")
zithan.test/user/show?openId=8996×tamp=1550732083&signature=cba2aa328577e6aab3e811517e1aa752
注意事項(xiàng)
md5可以換成其他非對(duì)稱加密的方法
在獲取token那一個(gè)步驟也有可能泄露token�,那么嚴(yán)謹(jǐn)就需要采取對(duì)稱加密,進(jìn)行數(shù)據(jù)加密�����。
因?yàn)樵黾恿藭r(shí)間戳����,那么就有可能導(dǎo)致第三方和服務(wù)器的差異性,那么就需要計(jì)算第三方的時(shí)間差���,在驗(yàn)證簽名或者生成簽名的時(shí)候考慮進(jìn)去����。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/30124.html
