快捷搜索:

简单的对数组进行添加就可以实现添加免验证的

1.android 登录时一般是这样:
loginData.put("name", userNameText.toString;loginData.put("password", passWordText.toString;loginData.put("platform", "android");//同步方式try { //调用登录接口网络请求 JSONObject response = okHttpManager.post(login_url, loginData);
2.在客户端在登录成功时 记录 以下信息
//保存用户信息, 常用的单独保存PreferenceManager pm = PreferenceManager.getInstance();pm.setString("user_id", loginDetail.getString("user_id"));pm.setString("app_token", loginDetail.getString("app_token"));pm.setString("app_ticket", loginDetail.getString);pm.setString("userinfo", loginDetail.toString;
3.服务器端 接收到登录信息后应该是这样处理:
//生成token$app_token = empty($userInfo['app_token']) ? $this->genAppToken($retParams['name'], $retParams['platform']) : '';

这个时候将更新users表 的 app_token字段。

//生成ticket$ticket = $this->genAppToken($userInfo['user_id'], $userInfo['mobile']);

这个时候判断check_online表 有没有该条数据,如果没有将其插入到online_user表中,该表的设计应该是这样:

id user_id ticket expire_time platform

(这个表的作用是记录成功登录 也就是正在线上的表,如果登出的话就应该将这条记录删除)

并将(userid跟ticket)做索引(所以判断用户是否在线 可以通过user_id 或者通过ticket 做判断)

这个genAppToken 可以用md5 或者sha 都行,反正就是单向加密的都可以,这个时候可以进行api 接口签名验证工作

api的话需要区分是否需要登录的接口 所以这块需要做到免验证判断:如下可以实现

$loginArr = array('login', 'register', 'mobile_verifycode_login', 'forget_password', 'send_email', 'createSMS', 'check_exis ts', 'notifySync', 'wx_auth_register','wx_auth_login'); 60 if (!in_array($method, $loginArr)) { 61 $this->load->model(array('User_model')); 62 $operator = $this->isLogin(); 63 $this->operator = array( 64 'user_id' => $operator['user_id'], 'ticket' => $operator['ticket'] 65 ); 66 }

简单的对数组进行添加就可以实现添加免验证的接口,根据上面做的online_user表的工作,很显然能知道 判断一个用户是否已经登陆 只要根据他的user_id 或者ticket就能够判断,如果不在线 则跳到登录页

在免接口验证中,显然不能通过ticket 来进行对用户的区分,所以我们用了sign签名的方式来解决API签名的一些问题

  • 请求参数是否被篡改
  • 请求来源是否合法
  • 请求是否具有唯一性

所以加签策略可以如下所示:

$sign = $params['sign'];269 $timestamp = $params['fx_timestamp'];270 $secret = “123sqweqweq“; //换成自己的secret271272 $app_ticket = $this->input->get_post(COOKIE_TICKET);273 $app_token = '';274 if (!empty($app_ticket)) {275 //获取app_token276 $cacheData = $this->ciredis->hGetAll('online:ticket:' . $app_ticket);277 $userInfo = $this->User_model->get(array('user_id' => $cacheData['user_id']));278 $app_token = !empty($userInfo['app_token']) ? $userInfo['app_token'] : APPSECRET;279 }

客户端往服务器端传参数的时候,对其是否传app_ticket 做判断,如果有 则用这个app_ticket 对表或者缓存中去app_token (要注意 app_ticket 跟app_token不能放在一个缓存或一个表中,还是需要user_id做关联)

//过滤掉sign285 unset($params['sign'], $params['s']);286 //排序287 ksort;288 reset;289290 //拼接字符串291 $arg = "";292 while (list ($key, $val) = each {293 $arg .= $key . "=" . $val . "&";294 }295 $arg = rtrim($arg,'&');

1.先排序ksort

2.拼接字符串 foreach($params as $key=>$val) {$arg .= $key.”=“.$val.”&”;}

3.然后对拼接完的字符串再加一段随机数进行md5 或者 sha 加签,类似如下:

key = “123aqwqw”;$newSign = sha1($arg.”$key”);

这个时候得到的newSign 就是服务器所生成的sign(当然其中的加签字符串可以设置长些复杂些);那这个newSign 跟客户端传过来的sign 做匹配 。相同则通过。

这样做的好处如下:

newSign 是根据所传递的参数进行加密的 所以 当其他人更改参数的时候,服务器端产生的newSign 必定与客户端传递的sign 不同,签名则不匹配这个时候 就会有人问 ==如果我劫持了客户端的代码 同时获取了客户端的加签程序,不就可以更改客户端的sign了吗。==

是这样的,所以android 经常使==用jni 用c写一套加签的流程==,这块代码是反编译不能获取不到的(==这块代码是编译到so 文件中的==),所以保证了客户端的代码安全

secret = PreferenceManager.getInstance().getString("app_token");ShowLog.e;addTicketToParams;buildSign;

在网络请求的地方进行加ticket 加 sign(网络请求这块必须要做成==公共调用==,这样才能实现对接口访问的统一,可以做成单例模式。)

secret 作用是获取登录那会保存的app_token,addTicketToParams 用来对params 进行加入ticket ,这个ticket 也是使用登录保存的ticket

重点在==buidlSign==这个部分。

params.put("timestamp", Long.toString(timestamp));params.put("appsecret", secret);Map<String, String> sortedParams = new TreeMap<String, String>;Set<Map.Entry<String, String>> entries = sortedParams.entrySet();StringBuffer buffer = new StringBuffer();byte[] bytes = null;try { for (Map.Entry<String, String> entry : entries) { if (buffer.length { buffer.append; } buffer.append(entry.getKey.append.append(entry.getValue;

获取时间戳以及获取之前的secret 也就是app_token然后也跟服务器端一样 遍历并挨个加=以及& 然后这时候加入jni 的编写的c语言程序加参跟服务器端逻辑类似 只是用c 来实现服务器端php语言的实现效果这个时候会返回一个字符串sign,然后

arams.remove("appsecret");ShowLog.e(params.toString;params.put("sign", doencrypt(buffer.toString;ShowLog.e(params.get;

将这个字符串加入sign 并与服务器端交互

这就是整个API接口签名验证的整个过程。

这块要注意的点在于不管是需要验证还是免验证的接口 必须让app_ticket 以及app_token 成对出现(要么都有 要么都没有)文章出处:

本文由澳门新葡萄京8455官网发布于澳门新葡萄京8455官网,转载请注明出处:简单的对数组进行添加就可以实现添加免验证的

您可能还会对下面的文章感兴趣: