这样做 api 接口的 token 验证能行吗? - V2EX

Home Sign Up Sign In

This topic created in 2832 days ago, the information mentioned may be changed or developed.

看了一些 api 接口的安全设计
基本都是有 appid 和 appsecret
但是如果是只有 appid 的设计会有什么缺陷吗?

就是请求的时候不明文传 appid 参数
而是把 appid 和时间戳进行 md5 加密然后传到服务器

这样相比 appid+appsecret 的设计有没有什么缺陷

Supplement 1 · Sep 6, 2018

写错了不是 md5 加密而是可逆加密
还有这个接口的客户端是服务器应用

6 replies

1

lizhenda

Sep 6, 2018

appsecret 一般放在服务端和第三方服务通信，appid 才给客户端用的。所以 appsecret 很难说泄露

2

raptium

Sep 6, 2018

这样服务器怎么知道你是谁，如果把所有分配出去的 appid 都尝试验证一遍，那么分配的 appid 越多，误通过验证的可能性就越大

3

qiayue

PRO

Sep 6, 2018

如 2 楼所说，怎么表明身份，怎么证明你是谁

4

azev

OP

Sep 6, 2018

@raptium
我想一下貌似是有点错误
写成 md5 加密了应该是可逆加密

5

raptium

Sep 6, 2018

@azev 加密的话，是不是所有的调用方都用同样的 key 加密？
如果不是同样的，那么服务器怎么知道应该用哪个 key 解密？
如果是同样的，那么这个 key 扩散的范围也会因为调用方变多而原来越大，最后变成公开的秘密……

6

5oiR5piv5YK76YC8

Sep 6, 2018

appsecret 相当于只有你我知道的的暗号
appid 相当于是谁发过来的消息

About · Help · Advertise · Blog · API · FAQ · Solana · 3277 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 42ms · UTC 12:14 · PVG 20:14 · LAX 05:14 · JFK 08:14
♥ Do have faith in what you're doing.