android webservice介面鑒權方案

一般的構造方法這裡以eoe網路介面很久前的相關約定為例：

介面根地址：
    API_ROOT = http://ws.eoeandroid.com/api/v1

公用測試key：
    api_key: 3YXNgING8f5Ugiq9J27XjQ
    api_secret: GNBu298hQemoO4INRkAyS5YDtKaq8ds4KTAue45iyE

公用參數：

參數名	取值	含義	備忘
uniquely_code	字串	該使用者手機的裝置號	必需,可取裝置唯一碼
api_key	字串	分配的api_key	必需
nonce	字串	唯一碼	必需
timestamp	數字	時間戳記，標識訪問時間	必需
api_sig	簽名值	按照規則計算出來的簽名	必需
alt	字串，目前支援xml	需要返回結果的資料格式	可選，預設值: xml
page	數字	擷取結果集的第幾頁結果	可選，預設值: 1
limit	數字	結果集每頁返回幾條結果	可選，預設值: 20
locale	字串，格式為zh-rCN	目前使用者的locale代碼	可選，預設值：unknown-rUnknown

PS：

每個介面除了其各自商務邏輯需要的參數外，還需要包含如下公用參數。

鑒權規則：

計算簽名值：
api_sig =MD5("api_key"+@api_key+"+"nonce"+@nonce+"timestamp"+@timestamp+"uniquely_code"+@uniquely_code+api_secret)

發送請求：
如上參數列表中的必要參數，加上計算出來的api_sig通過GET方式發送。

當然還有其它的一些方式，比如將入參首字母排序然後加上“secret key”做hash等等，不過總體來說一般的鑒權方式都大同小異。如果公司介面採用了上面所說方法，而且安全層級要求又特別高的話，建議用NDK實現。