题外话:
有人说:就算是https加密加API接口加密黑客照样可以攻击你,小公司没必要浪费这个精力去考虑这个问题,API接口也没必要去加密传输,过度设计实在是得不偿失。
回:家里的钱放屋子里小偷也能偷,干嘛不放到马路上去呢?把钱锁在抽屉里是很有必要的。
什么是过度设计:花一百万买保险柜只为了存一百块钱。
还有,一个好的产品都是希望在考虑更多情况下,选择合适的优化方案的情况下完成的,否则就是态度有问题。
一、普通的API加密设计方案(加上https更好)
【步骤A】iOS端加固key
客户端存储约定的key不能简单存放,不然一定反编译很容易被获取(因为是简单加密,不需要太纠结):
(1)、苹果增加更安全的存储方式:Keychain(相对于NSUserDefaults数据以明文的形式保存在)提供了一种安全的保存私密信息(密码,序列号,证书等)的方式,每个ios程序都有一个独立的keychain存储,将数据加密后存储在本地,更安全。
(2)、通过8进制或16进制进行转换的形式获取,这样反编译后只能看到类似03 78 67 这样数字,增加难度。
(3)、综合上面方法存储
【步骤B】客户端上传加密设置
1、把header和参数安装某种排序,比如page=13nickname=“小猫”生成字符串String1
2、String1拼接时间戳timestamp=134939349944生成String2
3、String2拼接约定的key参数成字符串String3
4、以约定的算法对String3加盐进行SHA256加密(或者MD5+salt)生成sign
5、登录的用户需要把后台返回的token一起上传(Token是否有效根据后台设定refreshToken是否过期判断,过期要重新加载)
【步骤C】服务器校验
1、服务端对token、timestamp和sign进行验证,只有三个参数都正确,查询缓存没有的,且timestamp在规定时间内,本次请求才有效
2、根据时间戳timestamp如何设置最大时间间隔:服务器最大时间容差1分钟+客户端请求超时30秒 = 1分30秒
3、服务器缓存:将sign以键值对的形式存放在缓存服务器中,用来屏蔽重复请求
4、对于需要登录的请求:将用户登录后服务器返回给客户端的Token以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。
至此:一个普通的API加密已经完成,一般黑客基本无心耗费精力来破解了,投入产出比很重要,亏本买卖谁做啊!
二、如果需要加强的,学习一下相关知识
1、关于加密的概念,很多人想当然的以为自己的加密方式最安全,只要不告诉别人就行,哈哈,好比闭门锁国,可能一炮就被别人干掉了。可以看看[应用密码学]
2、认为MD5不安全了,网上可以反查。能够反查的都是一些有规律的字符,有效的处理效果才能更佳,参考应用密码学的笑话之MD5+Salt不安全
3、服务端动态生成token,客户端调用的时候需要回传token,参考 微信公共平台 access_token
4、相关随笔
移动开发通信之http/https概念-优缺点-选择
移动开发通信之https加密协议SSL/TLS理解
移动开发通信之get/post理解和使用
其他学习资料:
应用密码学
蚂蚁金服开发平台 签名与验签
微信公共平台 access_token
通过Spring Session实现新一代的Session管理
