api認證 - 在用php寫android介面時，怎麼產生token和sign，保證驗證安全的原理是什麼

在用php寫android介面時，怎麼產生token和sign，保證驗證安全的原理是什麼，如果android的請求連結被抓包，發送同樣的請求，怎麼判斷是被惡意請求的

回複內容：

在用php寫android介面時，怎麼產生token和sign，保證驗證安全的原理是什麼，如果android的請求連結被抓包，發送同樣的請求，怎麼判斷是被惡意請求的

一般來說，token是有有效期間的，控制好有效期間，可以降低被攻擊的風險。
而sign是為了保證資料的完整性，不被中間人篡改。
如果你在請求裡還加上時間戳記，那麼對中間人來說，至少是不能直接重放資料了。

建議直接上https，直接防止抓包，偽造請求就更不用說了。比使用Sign方便得多。

如果非要使用Sign，一般是把請求的參數通過加密簽名獲得一串簽名串一同傳給伺服器，伺服器同樣把除了簽名串的參數進行相同的加密簽名運算，在和用戶端傳來的簽名串進行比較，如果不匹配，就說明請求已經被修改，是偽造的。

建議採用Json Web Token，可以控制token到期時間

Oauth不解釋，關於原理看阮老師的文章
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

app介面設計

