APP接口验签实现
背景是app老的验签方式是通过客户端和服务端约定一个盐,让后每次客户端请求对请求参数排序加盐最后通过摘要算法生成最终的sign,一起通过参数传递给服务端。 服务端通过相同的方法,排序->加盐->摘要 核对sign是否一样
问题
1. 盐泄露问题
2. 摘要后的sign侵入请求体
3. 不支持动态下发盐
解决
此次方案只涉及app参数加密这块,后续会做接口重放攻击等问题处理
三个参数通过header传递
密钥版本
加密后的随机盐
加密后的参数值
背景是app老的验签方式是通过客户端和服务端约定一个盐,让后每次客户端请求对请求参数排序加盐最后通过摘要算法生成最终的sign,一起通过参数传递给服务端。 服务端通过相同的方法,排序->加盐->摘要 核对sign是否一样
1. 盐泄露问题
2. 摘要后的sign侵入请求体
3. 不支持动态下发盐
此次方案只涉及app参数加密这块,后续会做接口重放攻击等问题处理
三个参数通过header传递
密钥版本
加密后的随机盐
加密后的参数值