80,351
社区成员
发帖
与我相关
我的任务
分享接口加密token验证的原理
不太明白关于token验证中的一部分内容:将请求URL、时间戳、token三者进行合并签名,服务端校验有效性。好像微信就是这么做的,但是流程上不是特别理解,如果抓包拿到了URL、时间戳、token并且用相同的加密方法签名,不是也能访问接口了吗?是不是安全机制就失效了?这里面应该是我有部分内容理解错了,望大神答疑解惑
...全文
请发表友善的回复…
发表回复
h114017 2021-06-16
- 打赏
- 举报
加盐
木羽绪574467 2018-01-08
- 打赏
- 举报
过来学习了!!
qq_26763799 2016-11-18
- 打赏
- 举报
例子:
uid:aaa
psw:(加密后)xmlj
token:abcdefghijklmnopqrstuvwxyz123456
服务器端接收uid和psw后会根据和移动端事先商量好的算法,自己计算出一个token(叫T1吧),然后和移动端传的token(叫T2吧)进行比较,只有当T1 == T2时才判定请求有效,不然就是token验证失败,请求无效
另外,你抓包拿到了这些参数,像该接口发了请求,还是没有改变什么啊,并没有涉及违规操作破坏接口,和正常触发一样,但是一旦你想做点什么,改参数,那么token就不同了,请求就失效了
daydreary 2016-11-17
- 打赏
- 举报
Token是通过某种算法得出的一个字符串,和请求数据相关,服务器用同样算法得出另一个token,进行比对。两者相同才是有效请求。你不知道算法的话,无法得出正确token,会被服务器认为是无效请求。
