注册友盟账号。如图示:
填写注册友盟个人信息,并邮箱激活账户。如图示:
登陆友盟账号。如图示:
在我的账搜扮户里,应用列表下,添加新应用。如世宴灶图示:
填写自己制作的APP应用包名称祥燃信息等,确定提交。如图示:
获得AppKey钥匙,复制。如图示:
8
然后粘贴到云建站的生成生成Android上,点击生成Android APP。如图示:
appkey 和 secret key相当于当前账户的另外一套账号和密码机制. 当然, 仅仅是在API调用的范围内适用.1.生成方式可以自己定义, appkey保证不重复就行. secret key保证不容易被穷举, 生成算法也不能被轻易嫌迟猜到. salt是一个不错的方式.
2.我们假定 appkey = 'AK' secret key = 'BK' 当前时间为 'T' 随机袜者氏值 'R'
我们需要在客户端生成一个verify code 假设公式是 md5('BK_T_R'), 我们称他为VC.
每次调用API的时候, 会把AK, T, R, VC传回服务器端.再服务器端验证VC 是否等于 md5('BK_T_R'), 即是否符合算法要求.
这套算法有个问题, 如果AK, T, R不变, 那么VC就肯定是固定的. 客户端有伪造的可能.
服务器端可以做如下策略告散, 比如时间抛弃, 客户端时间和服务器时间相差较大, 比如一个小时以上, 那么直接抛弃这次请求. 并且记录下当前AK最近提交的T_R, 保证这对组合应该是在当前AK范围内是唯一值. 如果发现有第二次调用, 直接抛弃.
只要VC的算法稍微靠谱点, 相信这套机制还是有一定的安全性了.
AppKey:公匙(相当于账号)
App key简称API接口验证序号,梁察烂是用于验证API接入合法性的。接入哪个网站的API接口,就需要这个网站允许才能够接入,如果简单比喻的话:可以理解成是登陆网站的用户名。
拓展资料:
ppkey是根据用户id算出来,也就是用户id另外一种表示方式,保证具有唯一性,目前大多数采用橡漏的是签名机制,也就是所有的参数通过不暴露的secret进行一定的运算,生成某次请求没腔的签名,并且这个签名有一定的时效性,从而降低被伪造的可能性,保证安全。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)