webapp介面安全設計思路

標籤：

在做webqq或者說app開發的時候，免不了會有介面是有許可權的（如查詢使用者敏感資訊等），這時介面安全設計思路就非常重要了。

簡單一點，在APP中儲存登入資料，每次調用介面時傳輸

程式員總能給自己找到偷懶的方法，有的程式為了省事，會在使用者登入後，直接把使用者名稱和密碼儲存在本地，然後每次調用後端介面時作為參數傳遞。真省事兒啊！可這種方法簡單就像拿著一袋子錢在路上邊走邊喊“快來搶我呀！快來搶我呀！”，一個小小的嗅探器就能把使用者的密碼拿到手，如果使用者習慣在所有地方用一個密碼，那麼你闖大禍了，駭客通過撞庫的方法能把使用者的所有資訊一鍋端。

安全一點：登入時請求一次token，之後用token調用介面

使用者在登入時，把登入資訊傳遞給後台，後台通過密碼編譯演算法產生token並將token儲存在資料庫或者快取服務器，同時把token返回給用戶端，介面調用時候都帶上token參數，後台通過判斷token是否有效給予不同許可權。（PS:token演算法  md5(username+timestamp+隨機字串)）

更安全一點：再產生一個sign

用deviceid和時間戳記再產生一個參數sign，比如 md5(deviceid+timestamp+ip+token)這樣的形式。資料請求：https://api.xx.com/api?tamp=12445323134&token=adcdaxdecagh&sign=FDK2434JKJFD334FDF2

PS:token控制有效期間，sign保證資料完整性。

 

其他設計方案：JSON Web Token

webapp介面安全設計思路