从登录注册说起该验证的全部过程:
1.android 登录时一般是这样:
loginData.put("name", userNameText.toString());
loginData.put("password", passWordText.toString());
loginData.put("platform", "android");
//同步方式
try {
//调用登录接口网络请求
JSONObject response = okHttpManager.post(login_url, loginData);
2.在客户端在登录成功时 记录 以下信息
//保存用户信息, 常用的单独保存
PreferenceManager pm = PreferenceManager.getInstance();
pm.setString("user_id", loginDetail.getString("user_id"));
pm.setString("app_token", loginDetail.getString("app_token"));
pm.setString("app_ticket", loginDetail.getString("ticket"));
pm.setString("userinfo", loginDetail.toString());
那服务器端返回的app_token 以及ticket 是怎么产生的呢 有什么作用呢?????
3.服务器端 接收到登录信息后应该是这样处理:
//生成token
$app_token = empty($userInfo['app_token']) ? $this->genAppToken($retParams['name'], $retParams['platform']) : '';
这个时候将更新users表 的 app_token字段。
//生成ticket
$ticket = $this->genAppToken($userInfo['user_id'], $userInfo['mobile']);
这个时候判断check_online表 有没有该条数据,如果没有将其插入到online_user表中,该表的设计应该是这样:
id | user_id | ticket | expire_time | platform |
---|
(这个表的作用是记录成功登录 也就是正在线上的表,如果登出的话就应该将这条记录删除)
并将(userid跟ticket)做索引
(所以判断用户是否在线 可以通过user_id 或者通过ticket 做判断)
这个genAppToken 可以用md5 或者sha 都行,反正就是单向加密的都可以,这个时候可以进行api 接口签名验证工作
客户端逻辑跟服务器端逻辑相似
服务器端如下:
api的话需要区分是否需要登录的接口 所以这块需要做到免验证判断:如下可以实现
$loginArr = array('login', 'register', 'mobile_verifycode_login', 'forget_password', 'send_email', 'createSMS', 'check_exis ts', 'notifySync', 'wx_auth_register','wx_auth_login');
60 if (!in_array($method, $loginArr)) {
61 $this->load->model(array('User_model'));
62 $operator = $this->isLogin();
63 $this->operator = array(
64 'user_id' => (int)$operator['user_id'], 'ticket' => $operator['ticket']
65 );
66 }
简单的对数组进行添加就可以实现添加免验证的接口,根据上面做的online_user表的工作,很显然能知道 判断一个用户是否已经登陆 只要根据他的user_id 或者ticket就能够判断,如果不在线 则跳到登录页
在免接口验证中,显然不能通过ticket 来进行对用户的区分,所以我们用了sign签名的方式来解决API签名的一些问题
- 请求参数是否被篡改
- 请求来源是否合法
- 请求是否具有唯一性
所以加签策略可以如下所示:
$sign = $params['sign'];
269 $timestamp = $params['fx_timestamp'];
270 $secret = “123sqweqweq“; //换成自己的secret
271
272 $app_ticket = $this->input->get_post(COOKIE_TICKET);
273 $app_token = '';
274 if (!empty($app_ticket)) {
275 //获取app_token
276 $cacheData = $this->ciredis->hGetAll('online:ticket:' . $app_ticket);
277 $userInfo = $this->User_model->get(array('user_id' => $cacheData['user_id']));
278 $app_token = !empty($userInfo['app_token']) ? $userInfo['app_token'] : APPSECRET;
279 }
客户端往服务器端传参数的时候,对其是否传app_ticket 做判断,如果有 则用这个app_ticket 对表或者缓存中去app_token (要注意 app_ticket 跟app_token不能放在一个缓存或一个表中,还是需要user_id做关联)
//过滤掉sign
285 unset($params['sign'], $params['s']);
286 //排序
287 ksort($params);
288 reset($params);
289
290 //拼接字符串
291 $arg = "";
292 while (list ($key, $val) = each($params)) {
293 $arg .= $key . "=" . $val . "&";
294 }
295 $arg = rtrim($arg,'&');
先保存起来用户传递的签名,需要服务器端用自己的方法生成签名,然后跟客户端传来的签名做匹配,如果成功就通过,否则就报签名错误
一般服务器端验证签名步骤都是这样:
1.先排序ksort
2.拼接字符串 foreach($params as $key=>$val) {
$arg .= $key.”=“.$val.”&”;
}
3.然后对拼接完的字符串再加一段随机数进行md5 或者 sha 加签,类似如下:
key = “123aqwqw”;
$newSign = sha1($arg.”$key”);
这个时候得到的newSign 就是服务器所生成的sign(当然其中的加签字符串可以设置长些复杂些);
那这个newSign 跟客户端传过来的sign 做匹配 。相同则通过。
这样做的好处如下:
newSign 是根据所传递的参数进行加密的 所以 当其他人更改参数的时候,服务器端产生的newSign 必定与客户端传递的sign 不同,签名则不匹配
这个时候 就会有人问 ==如果我劫持了客户端的代码 同时获取了客户端的加签程序,不就可以更改客户端的sign了吗。==
是这样的,所以android 经常使==用jni 用c写一套加签的流程==,这块代码是反编译不能获取不到的(==这块代码是编译到so 文件中的==),所以保证了客户端的代码安全
客户端代码如下:
secret = PreferenceManager.getInstance().getString("app_token");
ShowLog.e(url);
addTicketToParams(params);
buildSign(params);
在网络请求的地方进行加ticket 加 sign(网络请求这块必须要做成==公共调用==,这样才能实现对接口访问的统一,可以做成单例模式。)
secret 作用是获取登录那会保存的app_token,
addTicketToParams 用来对params 进行加入ticket ,这个ticket 也是使用登录保存的ticket
重点在==buidlSign==这个部分。
params.put("timestamp", Long.toString(timestamp));
params.put("appsecret", secret);
Map<String, String> sortedParams = new TreeMap<String, String>(params);
Set<Map.Entry<String, String>> entries = sortedParams.entrySet();
StringBuffer buffer = new StringBuffer();
byte[] bytes = null;
try {
for (Map.Entry<String, String> entry : entries) {
if (buffer.length() > 0) {
buffer.append("&");
}
buffer.append(entry.getKey()).append("=").append(entry.getValue());
获取时间戳以及获取之前的secret 也就是app_token
然后也跟服务器端一样 遍历并挨个加=以及& 然后这时候加入jni 的编写的c语言程序加参
跟服务器端逻辑类似 只是用c 来实现服务器端php语言的实现效果
这个时候会返回一个字符串sign,然后
arams.remove("appsecret");
ShowLog.e(params.toString());
params.put("sign", doencrypt(buffer.toString()));
ShowLog.e(params.get("sign"));
将这个字符串加入sign 并与服务器端交互
这就是整个API接口签名验证的整个过程。
这块要注意的点在于不管是需要验证还是免验证的接口 必须让app_ticket 以及app_token 成对出现(要么都有 要么都没有)
文章出处:https://www.ci92.com/Index/Blog/detail?id=17