这是一个创建于 3587 天前的主题,其中的信息可能已经有所发展或是发生改变。
1、约定一个安全码$security_key = 'xxxxxxxxxxxxxxxx'
2、假设要向接口发送的参数是:a=123,b=234,那么:
$sign = md5('a=123&b=234'.$security_key)
http://api_adress/?a=123&b=234&sign=$sign
3、接口接收到以上参数后,反向验证一下
请问这样足够安全吗?
2、假设要向接口发送的参数是:a=123,b=234,那么:
$sign = md5('a=123&b=234'.$security_key)
http://api_adress/?a=123&b=234&sign=$sign
3、接口接收到以上参数后,反向验证一下
请问这样足够安全吗?
 |
1
NewYear 2015-01-30 20:56:57 +08:00  3
不够 还要加上当前时间 以及一个随机字符
当前时间确保在一定时间内,比如在60秒内这个请求才有效,否则无限期的尝试…… 随机字符串来确保请求在60秒内只处理一次,以免多次提交产生多次功能 |
 |
2
shiny 2015-01-30 20:59:20 +08:00 1
建议 api 用 https
另外注意重放攻击 |
 |
4
xoxo 2015-01-30 21:03:27 +08:00 1
不够安全,appid或者app_id呢,你只给一个人用吗?
然后还有注意for update(重放)攻击 |
 |
5
iyaozhen 2015-01-30 21:04:46 +08:00
感觉不够,容易猜出key。
如果说内部数据的接口,还需再加强。@NewYear 的方法挺不错 |
|
6
NewYear 2015-01-30 21:42:04 +08:00 1
|
 |
7
cevincheung 2015-01-30 21:48:40 +08:00
|
 |
9
hgc81538 2015-01-30 21:55:36 +08:00 1
|
 |
10
invite 2015-01-30 22:03:02 +08:00 1
|
 |
13
halfcrazy 2015-01-31 02:19:18 +08:00
一般是hmac加一个自定义的key吧
|
 |
14
konakona 2015-01-31 02:33:26 +08:00 1
我給樓主一個最簡單的例子,也如1樓所說,正式微信的做法:
http://mp.weixin.qq.com/wiki/4/2ccadaef44fe1e4b0322355c2312bfa8.html signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 timestamp 时间戳 nonce 随机数 echostr 随机字符串 加密/校验流程如下: 1. 将token、timestamp、nonce三个参数进行字典序排序 2. 将三个参数字符串拼接成一个字符串进行sha1加密 3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信 |
Select Language