APP与后台安全交互

分类：5+ SDK

安全

刚接触H5+APP（以下简称H5+）,原生的APP都有设计一套APP与后台安全交互的流程，确保接口的安全（防篡改、仿重复调用）会有AES关键数据加密传输、RSA参数签名等操作。这些加密操作等都会涉及到一些关键的key等，H5+貌似都是放到页面上的？这样别人只需要把页面dow下来就能得到。我用的是tomcat服务器，别人只要截取到我的jsessionid,就可以做该用户可以做的任何事情。不知道Hbuilder有木有对H5+APP安全方面提供解决方案？

2016-09-18 17:34 负责人:无分享

2 个回复

Trust - 少说废话

请参考关于HTML、js加密、混淆、源码保护、代码安全，防止解压直接看源码

8***@qq.com (作者)

http://ask.dcloud.net.cn/article/157 [设计基于HTML5的APP登录功能及安全调用接口的方式]

function get_pwd_hash(pwd){  
    var salt = 'hbuilder';  //此处的salt是为了避免黑客撞库，而在md5之前对原文做一定的变形，可以设为自己喜欢的，只要和服务器验证时的salt一致即可。  
    return md5(salt + pwd); //此处假设你已经引用了md5相关的库，比如github上的JavaScript-MD5  
}

 这段代码中的“salt”是写在js里面的,对于用户端来说这是透明的,业内人士简单分析一下调用流程就可以直接模拟调用。

“建议”提供一个这样的功能：
如果能在manifest.json配置文件中提供一个区域写key/value,然后在打包安装以后,用户第一次启动的时候就自动将这个区域的key/value写入到Storage或 localstorage,做到这步最起码不是自己暴露了关键数据；
其实我就想在H5+里面找个安全存放AES加密key的地方,目前来看只有localstorage|Storage能做到
附录：
http://ask.dcloud.net.cn/article/288 [全局变量、常量、共享数据、跨webview传参的综述]
这个文章里面也没有我要的解决方案！！

该问题目前已经被锁定, 无法添加新回复

APP与后台安全交互

2 个回复

公告

相关问题

APP与后台安全交互

与内容相关的链接

2 个回复

公告

相关问题