1. 問題
對於後台來說,呼叫url時都會判斷session是否合法,所以即使別人知道後台url也無法呼叫。
所以在業務處理之前,登入之前,都需要驗證請求是否由合法客戶端發出。
(window.cproarray = window.cproarray || ).push();
介面請求時,先驗證簽名是否合法,再處理業務。
3. 登入
3.1 過程說明
登入介面,使用者輸入使用者名稱後,請求介面,申請login_token。 3.1.3 後台 生成並返回login_token
後台接收到login_token請求時,先查詢使用者名稱是否存在。如果存在,則查詢該使用者頭像,並為該使用者生成login_token,返回給移動端。token使用一次後將失效。
3.1.4 移動端 顯示頭像,儲存login_token
登入介面,接收到後台返回後,移動端顯示使用者頭像,並儲存login_token。等待使用者輸入密碼。 3.1.5 移動端 密碼加密
b 將排序之後的字串用md5加密,形成密碼密文。 c 銷毀本地的login_token。 3.1.6 移動端 呼叫登入介面
將使用者賬號和密碼密文做為引數,呼叫登入介面。 3.1.7 後台 登入驗證
後台接收到登入請求後,先查詢使用者名稱對應的login_token,並將此token設
置為失效,然後按密碼加密邏輯生成密碼密文,用生成的密文跟介面引數裡的密文對比,相同則登入成功。
3.1.8 後台 生成api_token
使用者登入成功後,為該使用者生成api_token並返回。該token用於每次介面呼叫的身份驗證,過期時間由後台控制。 3.1.9 移動端 獲得登入結果和api_token
使用者登入成功後,獲取並儲存api_token。該token用於每次介面呼叫的身份驗證,過期時間由後台控制。
4. 介面簽名驗證
4.1 過程說明
4.1.1 移動端 生成簽名
每次呼叫介面之前,都需要生成簽名。簽名生成規則如下:
b 將排序之後的字串用md5加密,形成使用者簽名。 4.1.2 移動端 呼叫介面
將簽名,介面引數,使用者名稱做為引數,呼叫介面。 4.1.3 後台 驗證簽名
後台接收到介面請求後,根據使用者名稱獲取pai_token,然後按簽名規則生成簽名,並與介面引數簽名對比,如果對比相同,則執行業務方法
yapi 介面文件 介面文件神器YApi
阿八個人部落格 1190000020220258 什麼是yapi github 官網上是這麼介紹的 yapi 是乙個可本地部署的 打通前後端及qa的 視覺化的介面管理平台 可以這麼說yapi兼具swagger,rap2,postman的各項優點why yapi 如果你想要乙個好用的介面管理平台,那麼...
app 歡迎介面
歡迎介面的原理就是兩個介面的動態切換 歡迎介面 暫停幾秒 自動跳到 主介面 方法一在onresume中傳送乙個延遲訊息 接收到訊息之後跳轉 override protected void onresume suppresslint handlerleak private handler mhandl...
關於APP介面
介面開發過程中任然有很多可以優化的地方,例如,我希望在開發過程中的提示語是具有專業性的提示,而生產環境中的提示則是人性化的,所以,對於ajaxr這個方法,我還需要做乙個更好的公升級,讓他能同時適應生產環境和開發環境。登入資訊的安全性已經做到了,我有開始考慮介面位址的安全性,我不希望因為自己介面的ur...