小追兵专栏

在app后台设计之初，为了数据的安全，会设计一套检验系统。
只有通过这个校验的请求才被认为是自己app的合法访问。

怎样确保每次的数据请求都是合法的呢？
我们在数据访问的时候增加数据请求头。也就是网络访问的header。

先看下面代码，我们可以通过继承复写volley的JsonObjectRequest类，来看看我们的实现类SignJsonRequest的具体做法：

header代码封装 ：

package com.xxxx.xxxx.xxx;

import java.util.HashMap;
import java.util.Map;

import org.json.JSONObject;

import biz.lemeng.zhimianbao.Config;
import biz.lemeng.zhimianbao.app.MyApplication;
import biz.lemeng.zhimianbao.model.LoginHelper;
import biz.lemeng.zhimianbao.utils.StringUtils;

import com.android.volley.AuthFailureError;
import com.android.volley.Response.ErrorListener;
import com.android.volley.Response.Listener;
import com.android.volley.toolbox.JsonObjectRequest;

public class SignJsonRequest extends JsonObjectRequest {

    public SignJsonRequest(String url, JSONObject jsonRequest,
            Listener<JSONObject> listener, ErrorListener errorListener) {
        super(url, jsonRequest, listener, errorListener);
    }

    public SignJsonRequest(int method, String url, JSONObject jsonRequest,
            Listener<JSONObject> listener, ErrorListener errorListener) {
        super(method, url, jsonRequest, listener, errorListener);
    }

    // 重写头信息，为了服务器授权
    @Override
    public Map<String, String> getHeaders() throws AuthFailureError {

        HashMap<String, String> headers = new HashMap<String, String>();
        headers.put(Config.HEADER_KEY, StringUtils.getSign());
        
        //如果已经登录，追加头信息
        if(LoginHelper.isLogin())
        {
            headers.put(Config.HEADER_LOGIN_KEY, MyApplication.gUserID+","+MyApplication.gUserToken);
        }
        
        return headers;
    }
}

可以看出我们实现了两个构造函数，还有复写了getHeaders()这个方法。

• 代码很简单，headers是我们new出一个HashMap集合；

• 其中Config.HEADER_KEY是我们和服务器定的一个字符串： public static final String HEADER_KEY ="x-xxx****-request-sign";；StringUtils.getSign()是我们一个工具类，返回的字符串是 MD5（“时间戳”+“APPKEY”）+“，”+时间戳；实例代码如下：String sign = getMD5(timestamp+Config.ZHIMIANBAO_APPKEY)+","+timestamp;其中apply是一个随机的字符串，只要你和服务器商量好，写入文档中，这就是你们两个人知道到密码，别人是不知道的。可以看出，我们吧获取的一个系统时间作为 时间戳 然后和我们的 APPKEY 拼接后，通过MD5后，得到一个唯一的字符串，这里我们假设这个字符串是‘a12345bcd’和我们的时间戳再拼接为新的字符串：得到一个新的字符串：‘a12345bcd，4221245’，这就是我们工具类返回的结果。

header的作用：安全校验，权限校验

• 我们通过volley请求服务器的时候，服务器会得到我们velloy的头信息。即得到里a12345bcd，4221245，服务器会通过“，”把拆分为两部分：‘a12345bcd’和‘4221245’，拿着4221245’这个时间戳，也做和上面通用的处理：MD5（“时间戳”+“APPKEY”），会得到一个新的字符串,如果你们用的是同一个APPKEY，和通一个“时间戳”，服务器也会得到相同的字符串‘a12345bcd’，你请求头里的，和服务器自己MD5的到的是相同的，说明请求是合法的，也就是自己的应用请求数据。加入请求在别修改，或者是第三方的程序修改，他们是不知道APPKEY的，所以得不到MD5以后，和服务器的MD5后的字符串不同，服务器一比较，就知道是不合法的请求。

• 同理：我们在限定登录用户，和非登录用户访问权限的时候，也是给服务器发送请求头。如果登录了，volley的头信息是已登录的头信息，如果没有登录，volley的头信息是非登录头信息，服务器可以根据头信息，返回不同的数据。

最后：有需要Shadowsock翻墙账号可以私聊。