本文介绍了网络请求中的安全措施,如token用于身份验证,sign确保请求数据一致性,nonce防止重复请求,timestamp限制请求时效。同时,讨论了对称加密AES和非对称加密RSA的优缺点,并提出了一种结合使用的策略。最后提到了MD5和Base64的作用,前者用于校验数据完整性,后者用于编码传输。
请求安全性: 服务器端在接收到请求的时候,要主动鉴别该请求是否有效,是否可接受。
token:已登陆用户的识别码
解决的问题:用户调用接口时,不用每次都带上用户名和密码,避免了频繁在网络中传输密码被截获的风险。
使用场景:用户登录系统时传入用户名和密码,服务器校验成功之后,根据uuid等参数生成token返回给客户端,同时把该token和该用户的对应关系缓存在服务器端。客户端在后续的请求接口中不用每次都传入用户名和密码,只需要传入token即可。服务器会根据token确定客户端的身份。
注意:token可设置生效时间,token失效之后,客户端重新请求token。
sign:请求参数的签名
解决问题:避免请求参数被恶意修改。保证了请求数据的一致性。
使用场景:客户端和服务端约定一个签名生成算法。客户端在请求接口之前调用签名算法,根据参数生成sign值。然后把sign和请求参数一并传给服务器。
服务器收到到参数和签名之后,根据请求参数,调用签名算法计算出签名,然后比较该签名和客户端传过来的签名是否一致,如果一致,则说明请求参数未被修改过,如果不一致,则说明请求参数被修改过。
non
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
