这是一个创建于 4084 天前的主题,其中的信息可能已经有所发展或是发生改变。
1、约定一个安全码$security_key = 'xxxxxxxxxxxxxxxx'
2、假设要向接口发送的参数是:a=123,b=234,那么:
$sign = md5('a=123&b=234'.$security_key)
http://api_adress/?a=123&b=234&sign=$sign
3、接口接收到以上参数后,反向验证一下
请问这样足够安全吗?
2、假设要向接口发送的参数是:a=123,b=234,那么:
$sign = md5('a=123&b=234'.$security_key)
http://api_adress/?a=123&b=234&sign=$sign
3、接口接收到以上参数后,反向验证一下
请问这样足够安全吗?
 | 1 NewYear 2015 年 1 月 30 日  3 不够 还要加上当前时间 以及一个随机字符 当前时间确保在一定时间内,比如在60秒内这个请求才有效,否则无限期的尝试…… 随机字符串来确保请求在60秒内只处理一次,以免多次提交产生多次功能 |
 | 2 shiny PRO 1 建议 api 用 https 另外注意重放攻击 |
 | 4 xoxo 2015 年 1 月 30 日 1 不够安全,appid或者app_id呢,你只给一个人用吗? 然后还有注意for update(重放)攻击 |
 | 5 iyaozhen 2015 年 1 月 30 日 感觉不够,容易猜出key。 如果说内部数据的接口,还需再加强。@NewYear 的方法挺不错 |
| 6 NewYear 2015 年 1 月 30 日 1 @< href="/member/iyaozhen">iyaozhen 忘记看了 hash别用md5了 用sha256之类的吧 hash长点更有安全感 或者自己修改md5函数 别人得不到你的算法 就不知道你的hash怎么计算 自然也就无法破解了 |
 | 7 cevincheung 2015 年 1 月 30 日 |
 | 9 hgc81538 2015 年 1 月 30 日 1 |
 | 10 invite 2015 年 1 月 30 日 1 |
 | 13 halfcrazy 2015 年 1 月 31 日 一般是hmac加一个自定义的key吧 |
 | 14 konakona 2015 年 1 月 31 日 1 我主一最的例子,也如1所,正式微信的做法: http://mp.weixin.qq.com/wiki/4/2ccadaef44fe1e4b0322355c2312bfa8.html signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 timestamp 时间戳 nonce 随机数 echostr 随机字符串 加密/校验流程如下: 1. 将token、timestamp、nonce三个参数进行字典序排序 2. 将三个参数字符串拼接成一个字符串进行sha1加密 3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信 |
Select Language