access key 笔记

用户认证

后台服务要提供公共接口给用户调用，必需要提供认证机制，一旦用户认证经过，才让用户调用API。对于次，能够经过（access_key，secret_access_key)来认证。
这个(access_key，secret_access_key)是成对存在的。用户要调用API必需要申请这样的一对数据。通常工做流程是：

1. 用户在前端申请access key
2. 服务器在后台生成(access_key，secret_access_key)，而后存进数据库，而后把这对数据返回给用户

用户的调用API流程是：

1. 经过secret_access_key来给请求参数签名，而且把签名附加到请求里，而后发请求给服务器
2. 服务器经过请求里的参数access_key来查询数据库里的secret_access_key，而后用secret_access_key计算请求参数的签名是否跟请求里的签名一致，一致则确认用户身份，不一致则拒绝访问。

签名

接下来介绍给参数签名的方法。若是请求参数以下：

{
    'name': 'fami',
    'address': 'pek'
}

把access_key加进这个请求里：

{
    'name': 'fami',
    'address': 'pek',
    'access_key': 'abc'
}

将这些参数按key的字母升序排序，而后以key=value的形式表示，而后用&链接起来。效果以下：

access_key=abc&address=pek&name=fami

而后用以secret_access_key为key用sha256(或其余算法）对这个字符串进行签名，若是签名后获得`

signature = 'xxxxxxxx'

那么把这个签名添加到请求参数里，获得

{
    'access_key': 'abc',
    'name': 'fami',
    'address': 'pek',
    'signature': 'xxxxxxxx'
}

最终把这个发给服务器，服务器根据参数里的access_key去查看secret_access_key，而后把参数里的signature字段取出来，用前面的签名方法来对剩下的参数进行签名，若是发现本身计算的签名跟请求参数里的签名同样，那么则经过认证。

安全问题

这里会有一个问题：若是这个(access_key，secret_access_key)被别人知道了，那么别人就会以个人身份去调用API了。确实会有这个问题，针对此，能够用如下的方法来减少影响。

1. access key支持ip白名单，只有在白名单内的ip才能够调用API。
2. access key支持设置有效期，也就是在有效时间内，该access key有效，过了这个有效期，就拒绝访问。
3. access key支持修改状态，只有状态为可用的状况下，服务器才会接受。

用户使用API必然会担忧安全问题。在此以外还能够作些相似按期提醒用户修改access key状态，或者按期删除access key。

题外话

微信公众号开发接口里面，是经过access_token调用微信的接口的。access_token生成方式以下：

接口调用请求说明

https请求方式: GET
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

经过传appid, appsecret给微信api后台，后台就会返回access_token，这个access_token是有有效期的，有点相似浏览器登陆。
正常状况下，微信会返回下述JSON数据：

{"access_token":"ACCESS_TOKEN","expires_in":7200}

不过我的以为传appsecret的方式不太优雅。