关于调用API接口问题

分类：HBuilder

HBuilder

请问各位怎么不让未授权的人调用API接口

2017-12-11 16:45 负责人:无分享

4 个回复

在API端加入权限鉴权机制

s***@163.com (作者) - sddw81

大神能说的详细点吗

s***@163.com (作者) - sddw81

网上说：
这个很简单。

设定一个密钥比如key = ‘2323dsfadfewrasa3434'。
这个key 只有发送方和接收方知道。
调用时，发送方，组合各个参数用密钥 key按照一定的规则(各种排序，MD5，ip等)生成一个access_key。一起post提交到API接口。
接收方拿到post过来的参数以及这个access_key。也和发送一样，用密钥key 对各个参数进行一样的规则(各种排序，MD5，ip等)也生成一个access_key2。
对比access_key 和access_key2 。一样。则允许操作，不一样，报错返回或者加入黑名单。

a***@vip.qq.com

1.你所说的这个只是防止发送方发送的信息被篡改而已。

（也就是防止参数值在传输过程中被坏人修改，例：一个人用支付宝转账100元到a账号，那么传输的参数可能为api.alipay.com/transfer?touser=a&amount=100如果没有使用你网上搜到这种方法进行处理，那么传输过程中touser参数和amount参数就有可能被篡改成b账号1000元，然后接收方就执行转账成功的操作并返回消息了）

2017-12-11 17:04
s***@163.com (作者)

就是啊，一旦他改了，后台也不知道是否被串改，即使加密，他也能把密文传进去，不是一样能访问

2017-12-12 17:19

s***@163.com (作者) - sddw81

但是怎么保证密钥不被截取？

该问题目前已经被锁定, 无法添加新回复