App開放接口api安全：Token簽名sign的設(shè)計(jì)與實(shí)現(xiàn)

前言

在app開放接口api的設(shè)計(jì)中，避免不了的就是安全性問(wèn)題，因?yàn)榇蠖鄶?shù)接口涉及到用戶的個(gè)人信息以及一些敏感的數(shù)據(jù)，所以對(duì)這些 接口需要進(jìn)行身份的認(rèn)證，那么這就需要用戶提供一些信息，比如用戶名密碼等，但是為了安全起見(jiàn)讓用戶暴露的明文密碼次數(shù)越少越好，我們一般在web項(xiàng)目 中，大多數(shù)采用保存的session中，然后在存一份到cookie中，來(lái)保持用戶的回話有效性。

但是在app提供的開放接口中，后端服務(wù)器在用戶登錄后 如何去驗(yàn)證和維護(hù)用戶的登陸有效性呢，以下是參考項(xiàng)目中設(shè)計(jì)的解決方案，其原理和大多數(shù)開放接口安全驗(yàn)證一樣，如淘寶的開放接口token驗(yàn)證，微信開發(fā) 平臺(tái)token驗(yàn)證都是同理。

對(duì)于敏感的api接口，需使用https協(xié)議

https是在http超文本傳輸協(xié)議加入SSL層，它在網(wǎng)絡(luò)間通信是加密的，所以需要加密證書。

https協(xié)議需要ca證書，一般需要交費(fèi)。

簽名的設(shè)計(jì)

原理： 用戶登錄后向服務(wù)器提供用戶認(rèn)證信息（如賬戶和密碼），服務(wù)器認(rèn)證完后給客戶端返回一個(gè)Token令牌，用戶再次獲取信息時(shí)，帶上此令牌，如果令牌正取，則返回?cái)?shù)據(jù)。對(duì)于獲取Token信息后，訪問(wèn)用戶相關(guān)接口，客戶端請(qǐng)求的url需要帶上如下參數(shù)：

時(shí)間戳： timestamp

Token令牌： token

然后將所有用戶請(qǐng)求的參數(shù)按照字母排序（包括timestamp，token），然后更具M(jìn)D5加密（可以加點(diǎn)鹽），全部大寫，生成sign簽名，這就是 所說(shuō)的url簽名算法。然后登陸后每次調(diào)用用戶信息時(shí)，帶上sign，timestamp，token參數(shù)。

加上時(shí)間戳和token

然后更具url參數(shù)生成sign

最終的請(qǐng)求如

其最終的原理是減小明文的暴露次數(shù)；保證數(shù)據(jù)安全的訪問(wèn)。

具體實(shí)現(xiàn)如下：

1. api請(qǐng)求客戶端想服務(wù)器端一次發(fā)送用用戶認(rèn)證信息（用戶名和密碼），服務(wù)器端請(qǐng)求到改請(qǐng)求后，驗(yàn)證用戶信息是否正確。

如果正確：則返回一個(gè)唯一不重復(fù)的字符串（一般為UUID），然后在Redis（任意緩存服務(wù)器）中維護(hù)Token----Uid的用戶信息關(guān)系，以便其他api對(duì)token的校驗(yàn)。

如果錯(cuò)誤：則返回錯(cuò)誤碼。

2.服務(wù)器設(shè)計(jì)一個(gè)url請(qǐng)求攔截規(guī)則

（1）判斷是否包含timestamp，token，sign參數(shù)，如果不含有返回錯(cuò)誤碼。

（2）判斷服務(wù)器接到請(qǐng)求的時(shí)間和參數(shù)中的時(shí)間戳是否相差很長(zhǎng)一段時(shí)間（時(shí)間自定義如半個(gè)小時(shí)），如果超過(guò)則說(shuō)明該 url已經(jīng)過(guò)期（如果url被盜，他改變了時(shí)間戳，但是會(huì)導(dǎo)致sign簽名不相等）。

（3）判斷token是否有效，根據(jù)請(qǐng)求過(guò)來(lái)的token，查詢r(jià)edis緩存中的uid，如果獲取不到這說(shuō)明該token已過(guò)期。

（4）根據(jù)用戶請(qǐng)求的url參數(shù)，服務(wù)器端按照同樣的規(guī)則生成sign簽名，對(duì)比簽名看是否相等，相等則放行。（自然url簽名 也無(wú)法100%保證其安全，也可以通過(guò)公鑰AES對(duì)數(shù)據(jù)和url加密，但這樣如果無(wú)法確保公鑰丟失，所以簽名只是很大程 度上保證安全）。

（5）此url攔截只需對(duì)獲取身份認(rèn)證的url放行（如登陸url），剩余所有的url都需攔截。

3.Token和Uid關(guān)系維護(hù)

對(duì)于用戶登錄我們需要?jiǎng)?chuàng)建token--uid的關(guān)系，用戶退出時(shí)需要需刪除token--uid的關(guān)系。

簽名實(shí)現(xiàn)

獲取全部請(qǐng)求參數(shù)

String sign = request.getParameter("sign");
        Enumeration<?> pNames =  request.getParameterNames();
        Map<String, Object> params = new HashMap<String, Object>();
        while (pNames.hasMoreElements()) {
            String pName = (String) pNames.nextElement();
            if("sign".equals(pName))continue;
            Object pValue = request.getParameter(pName);
            params.put(pName, pValue);
        }

生成簽名

public static String createSign(Map<String, String> params, boolean encode)
            throws UnsupportedEncodingException {
        Set<String> keysSet = params.keySet();
        Object[] keys = keysSet.toArray();
        Arrays.sort(keys);
        StringBuffer temp = new StringBuffer();
        boolean first = true;
        for (Object key : keys) {
            if (first) {
                first = false;
            } else {
                temp.append("&");
            }
            temp.append(key).append("=");
            Object value = params.get(key);
            String valueString = "";
            if (null != value) {
                valueString = String.valueOf(value);
            }
            if (encode) {
                temp.append(URLEncoder.encode(valueString, "UTF-8"));
            } else {
                temp.append(valueString);
            }
        }

        return MD5Utils.getMD5(temp.toString()).toUpperCase();
    }