转载于未知名博客

出于安全kao虑，近期推进一次app和api间通讯的认证的流程。舍弃了app认证这种思路，走的用户授权的思路。

具体流程如下:

就是app第一次启动时，向服务器请求获得accessId 授权id,accessToken 授权token,accessExp 授权过期时间。

接口请求的时候，将参数，时间戳，accessToken哈希，作为sign附加在参数上。（如果上https，只要将accessToken附加返回就好了）

当用户登录的时候，将用户id和accessId关联,存于服务器端。

操作用户数据接口获取到用户id后校验和accessId关联的用户id比较是否一致。

以后手机启动的时候，拿保存的access信息，请求更新接口，获取新的access信息。

kao虑的安全问题：

数据私密性，让数据在传输过程中不可见，避免偷窥狂，解决办法是上https，第一期不做。

数据完整性，防止数据发出后被篡改，解决办法是上https，第一期特么不上https，第二期又不知道在哪里。所以，将所有参数，加上时间戳，和access_token拼接后进行hash得到sign，附加在请求里面。服务端对sign进行校验。保证参数不被篡改。

请求幂等性，一个请求只请求一次有效，例如A给B转账，这个请求调用多次，只会转账一笔。通过accessId,接口，时间戳作为唯一判断来避免重放。

密钥泄漏，app被反编译，密钥丢了怎么办，所以舍弃app授权，改用对用户授权。

内存修改器，app如果直接持有memberId与服务端通讯，假如memberId被修改，防线瞬间就瓦解了，所以不以app持有的memberId为凭证，而是以accessId关联的memberId为准。