网站建设资讯

NEWS

网站建设资讯

app和服务器通讯安全 手机app与服务器通讯原理

如何保证手机端的app访问web服务器的安全

最好的办法是用比较靠谱的服务器安全软件,其实现在市面上好多,本人用的是云锁。它实现了对服务器的多端防护(PC、web、APP等),而且占用系统资源特别小,值得一用。

南靖网站建设公司创新互联,南靖网站设计制作,有大型网站制作公司丰富经验。已为南靖成百上千提供企业网站建设服务。企业网站搭建\外贸网站制作要多少钱,请找那个售后服务好的南靖做网站的公司定做!

怎么保证APP和服务器端通信的安全性

用HTTPS通信,另外APP往服务器接口发送的参数带token,还要加上签名,服务器端验签名(以防参数被篡改),校验token;同时加上时间戳,防止重放。(签名算法、密钥的分配安全存储要设计好)

对服务器接口要有监控,监控到异常情况要有处理方案。

什么是签名?服务器和APP之间的API接口和数据怎么保证安全

apk签名相当于程序的身份识别代码。

apk签名用于程序编译打包之后,手机在运行程序之前会先去验证程序的签名(可以看作类似于我们电脑上常说的md5)是否合法,只有通过了验证的文件才会被运行,所以签名软件的作用的让文件通过手机的验证为合法,不同的手机、系统是对应不同的签名的。

进行加密通讯防止API外部调用

服务器端与客户端各自会存储一个TOKEN,这个TOKEN我们为了防止反编译是用C语言来写的一个文件并做了加壳和混淆处理。

在客户端访问服务器API任何一个接口的时候,客户端需要带上一个特殊字段,这个字段就是签名signature,签名的生成方式为:

访问的接口名+时间戳+加密TOKEN 进行整体MD5,并且客户端将本地的时间戳作为明文参数提交到服务器

服务器首先会验证这两个参数:验证时间戳,如果时间误差与服务器超过正负一分钟,服务器会拒绝访问(防止被抓包重复请求服务器,正负一分钟是防止时间误差,参数可调整),

然后服务器会根据请求的API地址和提交过来的时间戳再加上本地存储的token按照MD5重新生成一个签名,并比对签名,签名一致才会通过服务器的验证,进入到下一步的API逻辑


网站栏目:app和服务器通讯安全 手机app与服务器通讯原理
当前网址:http://cdweb.net/article/dogjesg.html