本篇承接上一篇登錄安全,如果登錄都不安全,需要登錄前提的api調用當然也不安全。
登陸後,後端返回token。
調用接口時,前端需要生成簽名並通過rsa加密。
1.參數
token通過header傳遞,其他參數一律url傳遞,除了接口所需的基本參數,還需要客戶端時間戳(精確到秒,服務器設置爲上海時區),簽名sign(生成後rsa公鑰加密,再用base64_encode加密)
2.簽名的算法
將除sign本身外所有參數(包括token,timestamp)按參數名升值排序,參數鍵值對無縫拼接成字符串,並用sha1算法加密
3.rsa祕鑰長度至少2048位
2009年12月12日,編號爲RSA-768(768 bits, 232 digits)數也被成功分解。這一事件威脅了現通行的1024-bit密鑰的安全性,普遍認爲用戶應儘快升級到2048-bit或以上。
4.後端解密獲取明文