移动开发通信之API接口安全设计

题外话：

有人说：就算是https加密加API接口加密黑客照样可以攻击你，小公司没必要浪费这个精力去考虑这个问题，API接口也没必要去加密传输，过度设计实在是得不偿失。

回：家里的钱放屋子里小偷也能偷，干嘛不放到马路上去呢？把钱锁在抽屉里是很有必要的。
什么是过度设计：花一百万买保险柜只为了存一百块钱。

还有，一个好的产品都是希望在考虑更多情况下，选择合适的优化方案的情况下完成的，否则就是态度有问题。

一、普通的API加密设计方案（加上https更好）

简单的API加密设计方案

【步骤A】iOS端加固key
客户端存储约定的key不能简单存放，不然一定反编译很容易被获取（因为是简单加密，不需要太纠结）：
(1)、苹果增加更安全的存储方式：Keychain（相对于NSUserDefaults数据以明文的形式保存在）提供了一种安全的保存私密信息（密码，序列号，证书等）的方式，每个ios程序都有一个独立的keychain存储，将数据加密后存储在本地,更安全。
(2)、通过8进制或16进制进行转换的形式获取，这样反编译后只能看到类似03 78 67 这样数字，增加难度。
(3)、综合上面方法存储

【步骤B】客户端上传加密设置
1、把header和参数安装某种排序,比如page=13nickname=“小猫”生成字符串String1
2、String1拼接时间戳timestamp=134939349944生成String2
3、String2拼接约定的key参数成字符串String3
4、以约定的算法对String3加盐进行SHA256加密（或者MD5+salt）生成sign
5、登录的用户需要把后台返回的token一起上传（Token是否有效根据后台设定refreshToken是否过期判断,过期要重新加载）

【步骤C】服务器校验
1、服务端对token、timestamp和sign进行验证，只有三个参数都正确,查询缓存没有的,且timestamp在规定时间内，本次请求才有效
2、根据时间戳timestamp如何设置最大时间间隔：服务器最大时间容差1分钟+客户端请求超时30秒 = 1分30秒
3、服务器缓存：将sign以键值对的形式存放在缓存服务器中,用来屏蔽重复请求
4、对于需要登录的请求：将用户登录后服务器返回给客户端的Token以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。

至此：一个普通的API加密已经完成，一般黑客基本无心耗费精力来破解了，投入产出比很重要，亏本买卖谁做啊！

二、如果需要加强的，学习一下相关知识

1、关于加密的概念，很多人想当然的以为自己的加密方式最安全，只要不告诉别人就行，哈哈，好比闭门锁国，可能一炮就被别人干掉了。可以看看[应用密码学]
2、认为MD5不安全了，网上可以反查。能够反查的都是一些有规律的字符，有效的处理效果才能更佳，参考应用密码学的笑话之MD5+Salt不安全
3、服务端动态生成token，客户端调用的时候需要回传token，参考 微信公共平台 access_token
4、相关随笔
移动开发通信之http/https概念-优缺点-选择
移动开发通信之https加密协议SSL/TLS理解
移动开发通信之get/post理解和使用

其他学习资料：

应用密码学
蚂蚁金服开发平台 签名与验签
微信公共平台 access_token
通过Spring Session实现新一代的Session管理