【发布时间】:2017-01-07 20:23:15
【问题描述】:
我制作了一个 PHP rest api。我想通过 IOS 和 Android 应用程序连接到 API。但我不知道如何保护一切。
当应用第一次启动时,我在我的数据库中注册了设备
桌面设备:
id random enabled
1 12345 1
每个设备都有一个 id 和一个随机数。随机值在该表中是唯一的。实际设备接收 id 和随机值。
我现在拥有的:
我在 php 端验证每个请求:
private function validateUrl(){
$url = $_SERVER['REQUEST_URI'];
$signature = isset($_GET['signature']) ? $_GET["signature"] : null;
$url = str_replace('&signature=' . $signature, '',$url);
$url = "" . $url;
$correctSignature = md5($url . "TNynVX9k2HqYSXnd");
if($signature != $correctSignature){
echo die(json_encode([array('status' => "not valid")]));
}
}
(在这种情况下)IOS端的请求:
private func random () -> Int {
var result = "";
for _ in 1...3 {
let randomNumber = arc4random_uniform(99)
result += String(randomNumber);
}
return Int(result)!;
}
private func md5(string string: String) -> String {
var digest = [UInt8](count: Int(CC_MD5_DIGEST_LENGTH), repeatedValue: 0)
if let data = string.dataUsingEncoding(NSUTF8StringEncoding) {
CC_MD5(data.bytes, CC_LONG(data.length), &digest)
}
var digestHex = ""
for index in 0..<Int(CC_MD5_DIGEST_LENGTH) {
digestHex += String(format: "%02x", digest[index])
}
return digestHex
}
func createUrl(url : String) -> String {
var newUrl = url;
newUrl += "?&random=\(random())";
let secret = "TNynVX9k2HqYSXnd"
let signature = md5(string: newUrl + secret)
newUrl += "&signature=" + signature;
return newUrl;
}
这很好用,但如您所见,我有一个静态 API 密钥。我担心的事情。所以我想也许我可以根据我的数据库中的 id 和随机数创建一个 API 密钥。这样更安全吗?
类似:
func createUrl(url : String) -> String {
var newUrl = url;
let signature = md5(string: [device id here] + [device random here])
newUrl += "&signature=" + signature;
newUrl += "&deviceId=" + [device id here];
return newUrl;
}
在我的 PHP 端,我可以从 url 获取 deviceId 属性。将其与数据库进行比较,检索 id 和随机值。 MD5 他们。将其与签名进行比较。当有比赛时就可以了。否则不行。这是一个可靠的实现吗?
或者简单来说。可以用id+random的组合替换api key吗?
【问题讨论】:
标签: php ios swift rest security