1现在通用的开放API接口校验机制
现在一些大厂的APP,作为用户的商家来说有可能有一个用户可以对应多个AppKey、secretkey, 对应不同的权限调用。有些权限是有偿服务的。
首先会有一个AppKey,再分配一个私钥secretKey,这时候的AppKey更像一个用户名,secretKey则像一个密码。
举例淘宝卖家,申请淘宝的AppKey 、secretKey,
请求时 https://api.taobao.com/index.html?goods_name=book&price=15.6&sku=12345&AppKey=abcqerr;
校验用户传的参数是否被篡改的做法,首先会把传的参数加上私钥做md5()然后再传到服务器。
$sign = md5(goods_name=book&price=15.6&sku=12345&AppKey=abcqerr&secretKey=abc123);
客户端把签名带上,访问服务器
https://api.taobao.com/index.html?goods_name=book&price=15.6&sku=12345&AppKey=abcqerr&sign=$sign
服务器会根据事先约定好的,按照传递的参数按照key做排序。然后再按客户端做一遍加密后判断签名是否一致。
2 为了防止二次多次请求刷数据的问题
参数防止篡改的问题根据1可以解决。多次请求刷数据的问题怎么解决?
这个做法就是在请求时候带上一个随机数。服务器端记录随机数,如果有二次重刷数据可以根据随机数判断。服务器端记录大量随机数比较费资源,所以加上了一个时效比如15分钟(客户端的时间与服务器的时间有差异,一版不会太大),在时效失效后把记录的随机数删除掉。如果在时效内就做匹配记录,否则就忽略此请求。如果在范围内,就判断存储的随机数是否存在,如果不存在就存储随机数,并接受处理此请求,如果存在就忽略此请求
请求时 https://api.taobao.com/index.html?goods_name=book&price=15.6&sku=12345&AppKey=abcqerr&andom=random()&time=now();
2.1还是按照传递参数加上时间与随机数做个签名
$sign = MD5(goods_name=book&price=15.6&sku=12345&AppKey=abcqerr&random=random()&time=now()&secretKey=abc123);
请求时带上$sign
https://api.taobao.com/index.html?goods_name=book&price=15.6&sku=12345&AppKey=abcqerr&andom=random()&time=now()&sign=$sign;
请求就算完成,但是服务器端存储的请求的随机数删除的问题。
在请求到服务器时,把随机数存储在Redis上,然后设置一个过期时间
例如 SET 123456789 2019-12-12
EXPIRE 123456789 60 //六十秒后过期自动删除此
对用户登录token 也是此流程
用户在登录时 输入账号与密码,请求到服务端,服务器端根据判断是否存在此用户,并生成token传递到用户,每次用户请求时带上token,
在请求的时候还是
带上token值
https://api.taobao.com/index.html?goods_name=book&price=15.6&sku=12345&token=1b2d3e1aa4b&andom=random()&time=now()&sign=$sign;