有个兄弟在群(368405253)里问,有人在恶意调用app里的短信接口,主要是在app上而且是原生的代码,没有办法在app上限制或者让用户更新app,只能从服务端限制ip的方式来处理,我给出的方法是,一个ip能30分钟内只能调用短信接口几次。

这就引出app与服务端接口安全的问题了
上面的兄弟估计没有带安全认证直接get或post接口

如:http://www.junphp.com/?参数1=value1
这种方式简单粗暴,信息泄露或者被黑客劫持数据,那你的接口的全部暴露了

解决方法接口带安全签名

设计Sign表 字段

id appid secret model version
id 自增长id
appid appid不能重复 int
secret 加密随机的 string
model 调用的哪个接口 string
version 接口的版本 string

我以上面的短信接口为例
app端处理

  1. $appid='123456';
  2. $secret='sdfawerdvzsdfasdfsadfadf';
  3. $model='SMS';
  4. $version='v1';
  5. $timestamp=time();

//根据上面的参数等到一个签名

  1. $sign=md5($appid.$secret.$model.$version.$timestamp);

加密之后的链接


http://www.junphp.com/?appid=$appid&sign=$sign&model=$model&version=$version&timestamp=$timestamp

每秒调用接口都是改变sign(签名),黑客劫持到了数据也没有用

相关评论(0)
您是不是忘了说点什么?

友情提示:垃圾评论一律封号...

还没有评论,快来抢沙发吧!