Api接口签名设计

Api接口签名设计

一、前言

​ 传统的接口是开放的,但是容易被不法分子利用。由此对接口签名设计的背景就是维护接口的安全性

二、设计原则

  • 请求唯一性
  • 请求时效性
  • 请求可审计性

三、签名规则

  • 鉴权中心统一为调用方发放clientIdclientSecret(也可以是appIdappSecret
  • 需要生成时间戳timestamp(可以限制时效性)
  • 需要生成流水号nonce(流水号,可用后期安全审计)
  • 需要生成signature(由clientIdclientSecrettimestampnonce混合加密,加密方法可自定)

四、请求规则

  • 调用方维护好clientIdclientSecret
  • 生成timestampnonce
  • clientIdclientSecrettimestampnonce加密生成signature
  • clientIdtimestampnoncesignature放在请求头部
  • 鉴权中心根据当前时间戳与timestamp做比较,看是否过期
  • 鉴权中心收到clientId之后,查询出clientSecret,加上传递过来的timestampnonce,用同样的加密方法加密,获得的加密结果和signature对比,如果相同就表示成功
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。