在用php写android接口时,怎么生成token和sign,保证验证安全的原理是什么

发布于 2022-09-02 11:13:31 字数 89 浏览 14 评论 0

在用php写android接口时,怎么生成token和sign,保证验证安全的原理是什么,如果android的请求链接被抓包,发送同样的请求,怎么判断是被恶意请求的

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(5

回眸一遍 2022-09-09 11:13:31

一般来说,token是有有效期的,控制好有效期,可以降低被攻击的风险。
而sign是为了保证数据的完整性,不被中间人篡改。
如果你在请求里还加上时间戳,那么对中间人来说,至少是不能直接重放数据了。

逆光下的微笑 2022-09-09 11:13:31

建议直接上https,直接防止抓包,伪造请求就更不用说了。比使用Sign方便得多。

如果非要使用Sign,一般是把请求的参数通过加密签名获得一串签名串一同传给服务器,服务器同样把除了签名串的参数进行相同的加密签名运算,在和客户端传来的签名串进行比较,如果不匹配,就说明请求已经被修改,是伪造的。

夏天碎花小短裙 2022-09-09 11:13:31

建议采用Json Web Token,可以控制token过期时间

a√萤火虫的光℡ 2022-09-09 11:13:31

Oauth不解释,关于原理看阮老师的文章
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文