首頁猿問 ...

接口怎么能確定是自己的APP調(diào)用的及安全性？

PHP API 安全

米琪卡哇伊 2018-10-03 22:19:58

1.接口使用一個(gè)key跟用戶id md5加密。然后加密后的sign當(dāng)參數(shù)傳遞（這樣簡(jiǎn)單的加密方式安全嗎？）。2.那么問題來了，那如果用戶的請(qǐng)求被抓到了，那不是別人也可以模擬請(qǐng)求。那如何知道請(qǐng)求是自己的APP發(fā)出的。如果只是請(qǐng)求頭上帶了app信息，那其他人也可以模擬。3.因?yàn)榻涌趶腶pp發(fā)出，用戶只有抓本地包才能看到這些信息。現(xiàn)在用戶被別人請(qǐng)求包的情況容易出現(xiàn)嗎？

查看完整描述

2 回答

慕婉清6462132

TA貢獻(xiàn)1804條經(jīng)驗(yàn) 獲得超2個(gè)贊

之前我看人家是這么做的，有個(gè)專門的接口獲取key，key的有效期是2天。
之后調(diào)所有的接口，token直接用key加上對(duì)應(yīng)參數(shù)格式，進(jìn)行md5加密。也就是說參數(shù)是不帶任何key的。
一般來說，包會(huì)請(qǐng)求很多次，參數(shù)都會(huì)有變化，token就會(huì)不一樣。
而且，就算拿到key，不知道對(duì)方的組裝方式也白搭。

反對(duì) 回復(fù) 2018-10-14

HUWWW

TA貢獻(xiàn)1874條經(jīng)驗(yàn) 獲得超12個(gè)贊

強(qiáng)烈建議使用ssl來保護(hù)web api的通信安全，自己實(shí)現(xiàn)也未嘗不可，但是肯定是沒有ssl安全這是一定的。你這種做法會(huì)被中間人監(jiān)聽，sign直接會(huì)被拿到利用。
可以模擬請(qǐng)求。如果對(duì)方都反編譯了你的app，鑒權(quán)過程都了解了，那么是絕對(duì)可以模擬的。
在沒有ssl保護(hù)的情況下http都是明文傳輸，這種情況不是只有本地才能監(jiān)聽到。如果使用ssl保護(hù)通信安全的話，可以保證不被中間人監(jiān)聽。關(guān)于是否容易出現(xiàn)那就看你這個(gè)app的價(jià)值了。

推薦題主去了解下：中間人監(jiān)聽重放攻擊

反對(duì) 回復(fù) 2018-10-14