android 常用api 接口签名验证

从登录注册说起该验证的全部过程:

1.android 登录时一般是这样:
loginData.put("name", userNameText.toString());
loginData.put("password", passWordText.toString());
loginData.put("platform", "android");
//同步方式
try {
    //调用登录接口网络请求
    JSONObject response = okHttpManager.post(login_url, loginData);
2.在客户端在登录成功时 记录 以下信息
//保存用户信息, 常用的单独保存
PreferenceManager pm = PreferenceManager.getInstance();
pm.setString("user_id", loginDetail.getString("user_id"));
pm.setString("app_token", loginDetail.getString("app_token"));
pm.setString("app_ticket", loginDetail.getString("ticket"));
pm.setString("userinfo", loginDetail.toString());

那服务器端返回的app_token 以及ticket 是怎么产生的呢 有什么作用呢?????

3.服务器端 接收到登录信息后应该是这样处理:
//生成token
$app_token  = empty($userInfo['app_token']) ? $this->genAppToken($retParams['name'], $retParams['platform']) : '';

这个时候将更新users表 的 app_token字段。

//生成ticket
$ticket = $this->genAppToken($userInfo['user_id'], $userInfo['mobile']);

这个时候判断check_online表 有没有该条数据,如果没有将其插入到online_user表中,该表的设计应该是这样:

id user_id ticket expire_time platform

(这个表的作用是记录成功登录 也就是正在线上的表,如果登出的话就应该将这条记录删除)

并将(userid跟ticket)做索引
(所以判断用户是否在线 可以通过user_id 或者通过ticket 做判断)

这个genAppToken 可以用md5 或者sha 都行,反正就是单向加密的都可以,这个时候可以进行api 接口签名验证工作

客户端逻辑跟服务器端逻辑相似

服务器端如下:

api的话需要区分是否需要登录的接口 所以这块需要做到免验证判断:如下可以实现

$loginArr  = array('login', 'register', 'mobile_verifycode_login', 'forget_password', 'send_email', 'createSMS', 'check_exis    ts', 'notifySync', 'wx_auth_register','wx_auth_login');
 60             if (!in_array($method, $loginArr)) {
 61                 $this->load->model(array('User_model'));
 62                 $operator      = $this->isLogin();
 63                 $this->operator = array(
 64                     'user_id' => (int)$operator['user_id'], 'ticket' => $operator['ticket']
 65                 );
 66             }

简单的对数组进行添加就可以实现添加免验证的接口,根据上面做的online_user表的工作,很显然能知道 判断一个用户是否已经登陆 只要根据他的user_id 或者ticket就能够判断,如果不在线 则跳到登录页

在免接口验证中,显然不能通过ticket 来进行对用户的区分,所以我们用了sign签名的方式来解决API签名的一些问题

  • 请求参数是否被篡改
  • 请求来源是否合法
  • 请求是否具有唯一性

所以加签策略可以如下所示:

$sign  = $params['sign'];
269         $timestamp  = $params['fx_timestamp'];
270         $secret = “123sqweqweq“;    //换成自己的secret
271


272         $app_ticket = $this->input->get_post(COOKIE_TICKET);
273         $app_token  = '';
274         if (!empty($app_ticket)) {
275             //获取app_token
276             $cacheData  = $this->ciredis->hGetAll('online:ticket:' . $app_ticket);
277             $userInfo  = $this->User_model->get(array('user_id' => $cacheData['user_id']));
278             $app_token = !empty($userInfo['app_token']) ? $userInfo['app_token'] : APPSECRET;
279         }

客户端往服务器端传参数的时候,对其是否传app_ticket 做判断,如果有 则用这个app_ticket 对表或者缓存中去app_token (要注意 app_ticket 跟app_token不能放在一个缓存或一个表中,还是需要user_id做关联)

//过滤掉sign
285         unset($params['sign'], $params['s']);
286         //排序
287         ksort($params);
288         reset($params);
289
290         //拼接字符串
291         $arg = "";
292         while (list ($key, $val) = each($params)) {
293             $arg .= $key . "=" . $val . "&";
294         }
295         $arg    = rtrim($arg,'&');

先保存起来用户传递的签名,需要服务器端用自己的方法生成签名,然后跟客户端传来的签名做匹配,如果成功就通过,否则就报签名错误

一般服务器端验证签名步骤都是这样:

1.先排序ksort

2.拼接字符串 foreach($params as $key=>$val) {
$arg .= $key.”=“.$val.”&”;
}

3.然后对拼接完的字符串再加一段随机数进行md5 或者 sha 加签,类似如下:

key = “123aqwqw”;
$newSign = sha1($arg.”$key”);

这个时候得到的newSign 就是服务器所生成的sign(当然其中的加签字符串可以设置长些复杂些);
那这个newSign 跟客户端传过来的sign 做匹配 。相同则通过。

这样做的好处如下:

newSign 是根据所传递的参数进行加密的 所以 当其他人更改参数的时候,服务器端产生的newSign 必定与客户端传递的sign 不同,签名则不匹配
这个时候 就会有人问 ==如果我劫持了客户端的代码 同时获取了客户端的加签程序,不就可以更改客户端的sign了吗。==

是这样的,所以android 经常使==用jni 用c写一套加签的流程==,这块代码是反编译不能获取不到的(==这块代码是编译到so 文件中的==),所以保证了客户端的代码安全

客户端代码如下:

secret  = PreferenceManager.getInstance().getString("app_token");
ShowLog.e(url);
addTicketToParams(params);
buildSign(params);

在网络请求的地方进行加ticket 加 sign(网络请求这块必须要做成==公共调用==,这样才能实现对接口访问的统一,可以做成单例模式。)

secret 作用是获取登录那会保存的app_token,
addTicketToParams 用来对params 进行加入ticket ,这个ticket 也是使用登录保存的ticket

重点在==buidlSign==这个部分。

params.put("timestamp", Long.toString(timestamp));
params.put("appsecret", secret);

Map<String, String> sortedParams        = new TreeMap<String, String>(params);
Set<Map.Entry<String, String>> entries  = sortedParams.entrySet();

StringBuffer buffer = new StringBuffer();
byte[] bytes    = null;
try {
    for (Map.Entry<String, String> entry : entries) {
        if (buffer.length() > 0) {
            buffer.append("&");
        }

        buffer.append(entry.getKey()).append("=").append(entry.getValue());

获取时间戳以及获取之前的secret 也就是app_token
然后也跟服务器端一样 遍历并挨个加=以及& 然后这时候加入jni 的编写的c语言程序加参
跟服务器端逻辑类似 只是用c 来实现服务器端php语言的实现效果
这个时候会返回一个字符串sign,然后

arams.remove("appsecret");
ShowLog.e(params.toString());
params.put("sign", doencrypt(buffer.toString()));
ShowLog.e(params.get("sign"));

将这个字符串加入sign 并与服务器端交互

这就是整个API接口签名验证的整个过程。

这块要注意的点在于不管是需要验证还是免验证的接口 必须让app_ticket 以及app_token 成对出现(要么都有 要么都没有)
文章出处:https://www.ci92.com/Index/Blog/detail?id=17

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容