工作中一直在写Api数据接口,但大部分的Api都存在这样的问题
1.接口请求的地址和参数暴露
2.重要接口返回数据明文暴露
3.APP登录态请求的数据完全性问题
4.代码层的数据完全性问题(从代码层有些因素没有考虑到,比如用户提交的评论没有过滤等等)
针对以上问题我们需要 加密 加密 加密
加密方式有
MD5
AES 对称加密被称为下一代的加密标准
RSA 非对称加密效率较差,加密数据较多速度比较慢
那么如何来应对这些问题呢?有以下方案进行参考:
1.基本参数放入header
2.每次http请求参数都携带sign
3.请求参数,返回数据按安全性适当加密
4.access_token
例子 :
header 中可以放
sign 认证串 app_type 安卓还是ios version 版本号 did 设备号 model 手机型号