s***@163.com
s***@163.com
  • 发布:2017-12-11 16:45
  • 更新:2017-12-11 16:56
  • 阅读:1098

关于调用API接口问题

分类:HBuilder

请问各位怎么不让未授权的人调用API接口

2017-12-11 16:45 负责人:无 分享
已邀请:
a***@vip.qq.com

a***@vip.qq.com

在API端加入权限鉴权机制

s***@163.com

s***@163.com (作者) - sddw81

大神能说的详细点吗

s***@163.com

s***@163.com (作者) - sddw81

网上说:
这个很简单。

  1. 设定一个密钥比如key = ‘2323dsfadfewrasa3434'。
  2. 这个key 只有发送方和接收方知道。
  3. 调用时,发送方,组合各个参数用密钥 key按照一定的规则(各种排序,MD5,ip等)生成一个access_key。一起post提交到API接口。
  4. 接收方拿到post过来的参数以及这个access_key。也和发送一样,用密钥key 对各个参数进行一样的规则(各种排序,MD5,ip等)也生成一个access_key2。
  5. 对比access_key 和access_key2 。一样。则允许操作,不一样,报错返回或者加入黑名单。
  • a***@vip.qq.com

    1.你所说的这个只是防止发送方 发送的信息被篡改而已。

    (也就是防止参数值在传输过程中被坏人修改,例:一个人用支付宝转账100元到a账号,那么传输的参数可能为api.alipay.com/transfer?touser=a&amount=100如果没有使用你网上搜到这种方法进行处理,那么传输过程中touser参数和amount参数就有可能被篡改成b账号1000元,然后接收方就执行转账成功的操作并返回消息了)


    2017-12-11 17:04

  • s***@163.com (作者)

    就是啊,一旦他改了,后台也不知道是否被串改,即使加密,他也能把密文传进去,不是一样能访问


    2017-12-12 17:19

s***@163.com

s***@163.com (作者) - sddw81

但是怎么保证密钥不被截取?

该问题目前已经被锁定, 无法添加新回复