书籍购买地址:京东 当当 天猫
API接口设计系列文章
-
Android开发规范:API接口安全设计规范
-
Android开发规范:API接口通用设计规范
文章目录
-
- 防篡改
-
防重放
-
Https
APP的数据来源就是API接口,所以API接口对于APP的意义来说不言而喻。
设计API接口最重要的考虑点就是安全机制。
我们这边将从三个方面来考虑怎么设计一个安全的API接口。
防篡改
防篡改就是防止请求的URL参数值发送至服务器的时候被改动。
普通的API接口格式是xxx.html?key1=xx?key2=xx?key3=xx。
我们采用 sign 签名方式保证数据传输的正确性。
我们的app一般会在公司的后台申请一个appKey和appSecret,这两个是一一对应的。
appKey我们会作为一个参数写在URL中,发送至服务器。
appSecret则用于参与生成sign的计算。
sign算法需要足够复杂,最好有一套自己的签名算法,不是外界公开的;
一般采用安全散列算法实现,比如SHA1。
sign也要作为一个参数添加到URL中,和appKey一并发送至服务器。
如:xxx.html?appKey=xx?sign=xx?key1=xx?key2=xx?key3=xx。
服务器收到请求后,会通过appKey查到对应的appSecret,然后通过同样的散列算法,得到一个sign,然后比较一下两个sign是否相等。如果不相等则数据找到篡改,废弃这条请求。
另外,关于appSecret有两种使用方式:
-
appSecret直接写死在客户端代码中,这样直接获取调用即可。
-
appSecret还可以通过一个专门的接口getSign从后台获取。
这种情况需要用户首先登录成功后,服务器返回一个accessToken,然后调用appSecret接口需要带上这个accessToken参数。
防重放
解决了数据被篡改的问题,还有一个问题就是如果一条正常的请求数据被人获取到了,从而进行二次甚至多次请求怎么办?
我们这边可以使用nonce + timestamp的解决方案。
- nonce
nonce就是一个随机数,由客户端生成,每次请求将随机数作为一个参数发送给服务器。
服务器会在数据库里查询是否有这个nonce,如果没有则是一条新的请求,进行正常处理;
如果能查到已经存在这个nonce,则废弃这条请求。
nonce可以通过UUID.randomUUID().toString()来生成。
有个问题就是这个nonce在数据库中随着请求量的增大而导致数据量会越来越大。
解决这个问题我们可以采用timestamp时间戳的方式。
2. timestamp
时间戳是服务器给URL请求设定的一个有限时间范围起点。
比如服务器认为客户端发送带过来的timestamp与服务器的当前时间戳在10分钟之内,则认为这条请求是有效的。超过了10分钟则废弃这条请求。
如果10分钟内的请求,需要在数据库中查询nonce是否有记录,如果有记录这废弃这条请求;
如果没有记录,则记录这个nonce,并且将超过10分钟的nonce全部删除。
关于这个timestamp获取的问题,同样需要从服务器获取,不然客户端怎么知道服务器的起点计算时间呢?
先自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《Android移动开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以扫码领取!!!!
最后是今天给大家分享的一些独家干货:
【Android开发核心知识点笔记】
【Android思维脑图(技能树)】
【Android核心高级技术PDF文档,BAT大厂面试真题解析】
【Android高级架构视频学习资源】
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可免费领取!文章来源地址https://www.toymoban.com/news/detail-845656.html
[外链图片转存中…(img-1dNMowQE-1711231877857)]文章来源:https://www.toymoban.com/news/detail-845656.html
【Android高级架构视频学习资源】
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可免费领取!
到了这里,关于Android开发规范:API接口安全设计规范的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
