API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。
1 Token授权机制
用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。
2 时间戳超时机制
用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如30秒),则认为该请求失效。时间戳超时机制是防御重复调用和爬取数据的有效手段。
当然这里需要注意的地方是保证客户端和服务端的“当前时间”是一致的,我们采取的对齐方式是客户端第一次连接服务端时请求一个接口获取服务端的当前时间A1,再和客户端的当前时间B1做一个差异化计算(A1-B1=AB),得出差异值AB,客户端再后面的请求中都是传B1+AB给到服务端。
3 API签名机制
将“请求的API参数”+“时间戳”+“盐”进行MD5算法加密,加密后的数据就是本次请求的签名signature,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。签名机制保证了数据不会被篡改。
4 注意事项
5 安全保障总结
在以上机制下,
如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过;
如果有人使用已经劫持的URL进行DOS攻击和爬取数据,那么他也只能最多使用30s;
如果签名算法都泄露了怎么办?可能性很小,因为这里的“盐”值只有我们自己知道。
URL和token不是凭空出现的,url是服务器域名,token是第三方后台自行设置的,如果不懂开发,就需要找专门的开发公司解决;
目前微信开店有两种选择,一种是使用微信公众号微商城,这需要基于微信公众号进行二次开发,是基于微信公众平台打造的原生电商模式,包括添加商品、商品管理、订单管理、货架管理、维权等功能,开发者可使用接口批量添加商品,快速开店。 另一种就是当下最前沿的微信小程序商城了,无论选择哪种,使用必须满足一下条件:
1必须有营业执照;
2必须开通微信支付接口;
3必须缴纳账号审核费用300元。其中,服务号、小程序和微信支付都需要营业执照认证,个体工商户和公司都可以。
有了以上条件,就可以找第三方技术公司搭建微信小程序商城了。不同的第三方其产品和服务存在较大差异,微信小程序商城主要通过第三方平台技术实现。基于微信小程序的公开接口,在客户关系管理、市场推广、运营活动、O2O落地执行等方面可以为商家提供更丰富的营销解决方案。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)