APP介面安全問題

如何保證安全性呢?
大家做APP介面是如何保證安全的呢
網上有幾種方法
1.提交使用者名稱和密碼,但是很多介面是公開的
2.生產用戶端和服務端一樣的token , 如果是以時間的話,那麼59分發送過去,服務端01分才接受到,那麼就會資料錯誤
3.有什麼方法解決呢 親?

回複內容：

如何保證安全性呢?
大家做APP介面是如何保證安全的呢
網上有幾種方法
1.提交使用者名稱和密碼,但是很多介面是公開的
2.生產用戶端和服務端一樣的token , 如果是以時間的話,那麼59分發送過去,服務端01分才接受到,那麼就會資料錯誤
3.有什麼方法解決呢 親?

首先，HTTPS能上就上，抗抓包能力強。
其次，用戶端和伺服器共用一套加密或者散列演算法，參數中加入隨機驗證參數，伺服器識別驗證。
最後，可以在頭中定義一些特殊的驗證參數驗證來源（當然也包括類似Token的東西）。

不過，這些都是在用戶端不會被反編譯的情況下才有效。

第一個問題，很多介面都是需要token或者說key來調用的，當然不排除一些開放的介面。你都有使用者名稱和密碼去調用了。還有什麼安全性，頂多就是做一些防止暴力破解的機制
第二個問題，大部分通過時間戳記加密的都會在傳遞參數的過程中把這些加密參數完全傳遞（當然還有一些私人的密鑰，這個只參與加密過程，並不會傳遞，也不會放到外面讓大家看到的。貌似之前有個二次開發的供應商，把大量的appsecrect暴露，引起了XXX），也就是說系統接到請求，以接到的請求資料進行加密對比。
第三個問題，如果你理解上面說的，應該就懂了。。
附一個簡單的加密流程
第三方：appid，appsecrect[私密的]
app介面：appid，appsecrect
第三方調用app介面會傳遞：appid+時間戳記+md5（appid+時間戳記+appsecrect），注意這裡的appsecrect在調用app時，並不會參與傳遞。
app接到請求：得到請求中的appid+時間戳記，通過appid在儲存中擷取appsecrect 然後進行md5（appid+時間戳記+appsecrect），通過這個串同第三方的md5加密後的串進行比對，如果不同則拋出錯誤

HTTPS + SSLPinning + Token

1.HTTPS
2.簽名機制(Token)
3.介面內容加密(RES/AES)
4.oauth2

公開金鑰傳輸私密金鑰加密

