OpenApi开放平台架构

1. 鉴权 token认证 令牌动态交换
2. 参数auth认证 防止重放攻击
3. 调用次数 限流
4. 兼容内网SOA
5. 可配置的Url 路径 调用内网服务命 方法 调用参数 返回数据的映射。类似统一网关服务。
6. RPC 动态调用 类的动态加载
7. 安全设置 app_secret固定 token动态生成 带过期机制 通过app_secret获取token 。交换token时 使用app_secret + old token 非对称加密 生成密文。服务端根据app_key(调用房注册I’d)查询出服务端存储的app_secret old token校验。准确后生成新token使用app_secret + new token 对称加密后返回给client。client利用自身的app_secret解密出new token。配合来源ip一起加密 验证来源的准确性。防治抓包攻击。
8. 每次调用使用有效的token和时间还有参数一起对称加密。服务端根据有限token 进行解密。类似tls ssl的加密机制 动态token和密文永远不会明文暴露在传输层
9. 还有一种参数机制 参数明文 authstring由参数和有效token非对称加密传输 服务端根据有限token和传的参数进行相同加密 检验调用的合法性 缺点回明文暴露参数
10. 重放攻击的防御。client每次请求生成一个随机字符，作为参数一起和有效token加密，服务端每接收一次请求保存下这个随机字符，相同的请求会被随机字符的幂等控制住，伪造者没有有效token 不能伪造真实请求，所以可以实现防止抓包引起的重放攻击。