php - Comment une interface peut-elle être sûre qu'elle est appelée par sa propre application et qu'elle est sécurisée?
漂亮男人
漂亮男人 2017-05-16 13:10:43
0
3
678

1. L'interface utilise un cryptage de clé et d'ID utilisateur md5. Ensuite, le signe chiffré est passé en paramètre (une méthode de chiffrement aussi simple est-elle sûre ?).

2. Alors voici le problème. Si la demande de l'utilisateur est interceptée, d'autres personnes peuvent également simuler la demande. Alors, comment savez-vous que la demande est émise par votre propre APP ?
Si seules les informations sur l'application sont incluses dans la demande, d'autres peuvent également les simuler.

3. Étant donné que l'interface est envoyée depuis l'application, l'utilisateur ne peut voir ces informations qu'en récupérant le package local. Est-il facile pour les utilisateurs d'être demandés par d'autres pour des packages maintenant ?

漂亮男人
漂亮男人

répondre à tous(3)
左手右手慢动作
  1. Il est fortement recommandé d'utiliser SSL pour protéger la sécurité des communications de l'API Web. Ce n'est pas une mauvaise idée de l'implémenter vous-même, mais ce n'est certainement pas aussi sécurisé que SSL. Votre démarche sera suivie par l'intermédiaire, et l'enseigne sera directement exploitée.

  2. Peut simuler des demandes. Si l’autre partie a décompilé votre application et comprend le processus d’authentification, celle-ci peut certainement être simulée.

  3. En l'absence de protection SSL, http est transmis en texte clair. Cette situation ne peut être surveillée que localement. Si vous utilisez SSL pour protéger la sécurité des communications, vous pouvez vous assurer qu'elles ne seront pas surveillées par un intermédiaire. La facilité d'apparition dépend de la valeur de votre application.

Recommandez le sujet pour en savoir plus sur : la surveillance de l'homme du milieu et les attaques par rejeu

给我你的怀抱

J'ai déjà vu des gens faire ça. Il existe une interface spéciale pour obtenir la clé. La clé est valable 2 jours.
Après avoir ajusté toutes les interfaces, le token utilise directement la clé ainsi que le format de paramètre correspondant pour effectuer le cryptage md5. En d’autres termes, les paramètres n’ont aucune clé.
D'une manière générale, le package sera demandé plusieurs fois, les paramètres changeront et le token sera différent.
De plus, même si vous obtenez la clé, cela ne sert à rien si vous ne savez pas comment l'autre partie l'assemble.

世界只因有你

Vous pouvez essayer Json Web Token

Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal