App开放接口api安全性—Token签名sign的设计与实现

前言

在app开放接口api的设计中，避免不了的就是安全性问题，由于大多数接口涉及到用户的我的信息以及一些敏感的数据，因此对这些接口须要进行身份的认证，那么这就须要用户提供一些信息，好比用户名密码等，可是为了安全起见让用户暴露的明文密码次数越少越好，咱们通常在web项目中，大多数采用保存的session中，而后在存一份到cookie中，来保持用户的回话有效性。可是在app提供的开放接口中，后端服务器在用户登陆后如何去验证和维护用户的登录有效性呢，如下是参考项目中设计的解决方案，其原理和大多数开放接口安全验证同样，如淘宝的开放接口token验证，微信开发平台token验证都是同理。

签名设计

对于敏感的api接口，需使用https协议

https是在http超文本传输协议加入SSL层，它在网络间通讯是加密的，因此须要加密证书。

https协议须要ca证书，通常须要交费。

签名的设计

原理：用户登陆后向服务器提供用户认证信息（如帐户和密码），服务器认证完后给客户端返回一个Token令牌，用户再次获取信息时，带上此令牌，若是令牌正取，则返回数据。对于获取Token信息后，访问用户相关接口，客户端请求的url须要带上以下参数：

时间戳：timestamp

Token令牌：token

而后将全部用户请求的参数按照字母排序（包括timestamp，token），而后更具MD5加密（能够加点盐），所有大写，生成sign签名，这就是所说的url签名算法。而后登录后每次调用用户信息时，带上sign，timestamp，token参数。

例如：原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 （post和get都同样，对全部参数排序加密）

加上时间戳和token

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc 
而后更具url参数生成sign

最终的请求如

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2 
其最终的原理是减少明文的暴露次数；保证数据安全的访问。

具体实现以下：

1. api请求客户端想服务器端一次发送用用户认证信息（用户名和密码），服务器端请求到改请求后，验证用户信息是否正确。

若是正确：则返回一个惟一不重复的字符串（通常为UUID），而后在Redis（任意缓存服务器）中维护Token----Uid的用户信息关系，以便其余api对token的校验。

若是错误：则返回错误码。



2.服务器设计一个url请求拦截规则

（1）判断是否包含timestamp，token，sign参数，若是不含有返回错误码。

（2）判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间（时间自定义如半个小时），若是超过则说明该 url已通过期（若是url被盗，他改变了时间戳，可是会致使sign签名不相等）。

（3）判断token是否有效，根据请求过来的token，查询redis缓存中的uid，若是获取不到这说明该token已过时。

（4）根据用户请求的url参数，服务器端按照一样的规则生成sign签名，对比签名看是否相等，相等则放行。（天然url签名 也没法100%保证其安全，也能够经过公钥AES对数据和url加密，但这样若是没法确保公钥丢失，因此签名只是很大程 度上保证安全）。

（5）此url拦截只需对获取身份认证的url放行（如登录url），剩余全部的url都需拦截。

3.Token和Uid关系维护

对于用户登陆咱们须要建立token--uid的关系，用户退出时须要需删除token--uid的关系。

签名实现

获取所有请求参数

String sign = request.getParameter("sign");
        Enumeration<?> pNames =  request.getParameterNames();
        Map<String, Object> params = new HashMap<String, Object>();
        while (pNames.hasMoreElements()) {
            String pName = (String) pNames.nextElement();
            if("sign".equals(pName))continue;
            Object pValue = request.getParameter(pName);
            params.put(pName, pValue);
        }

 

生成签名

public static String createSign(Map<String, String> params, boolean encode)
            throws UnsupportedEncodingException {
        Set<String> keysSet = params.keySet();
        Object[] keys = keysSet.toArray();
        Arrays.sort(keys);
        StringBuffer temp = new StringBuffer();
        boolean first = true;
        for (Object key : keys) {
            if (first) {
                first = false;
            } else {
                temp.append("&");
            }
            temp.append(key).append("=");
            Object value = params.get(key);
            String valueString = "";
            if (null != value) {
                valueString = String.valueOf(value);
            }
            if (encode) {
                temp.append(URLEncoder.encode(valueString, "UTF-8"));
            } else {
                temp.append(valueString);
            }
        }

        return MD5Utils.getMD5(temp.toString()).toUpperCase();
    }

 

From: http://www.lai18.com/content/944366.html