62,248
社区成员
发帖
与我相关
我的任务
分享接口安全参数签名验证问题,在线等。
在做接口安全用参数排序+appkey。md5加密后产生的sign密钥,在到服务端再次验证,这里有个问题就是post过来的参数比如50个json参数,而且可能有些参数不是必填,我这里如何知道这些参数进行加密和传过来的sign对比,不可能一个个request判断在加密吧?一般是怎么做的?request没有获取所有的post参数
...全文
请发表友善的回复…
发表回复
peng2739956 2017-07-14
- 打赏
- 举报
不管你是100还是1000个,你过滤的那个方法都是一个个过滤,难不成 你整个JSON 进行过滤,或者你在传过来的时候加个参数,如Flag:false or true ,这只是前端的验证和过滤后端还是要过滤一次。所以你判断的准则不应该是10个null来过滤。应该是这40个你都的过滤一遍,担心性能的问题,你可以用异步,用线程都可以。而且一个过滤不会让你的系统当掉,很多种方法提高过滤的性能,你无需担心
【Help】 2017-07-14
- 打赏
- 举报
什么叫做“一个个request判断”?
如果一共有50个参数,但是某次通讯只用了40个,那么 sign 就是根据这40个参数进行排序和md5散列、加密。实际是多少参数就考虑多少参数,忧心不存在的和没有出现的其它情况干什么啊?![/quote]是根据传过来的40个参数判断还是根据我这里10个为null的参数过滤来判断?
以专业开发人员为伍 2017-07-14
- 打赏
- 举报
什么叫做“一个个request判断”?
如果一共有50个参数,但是某次通讯只用了40个,那么 sign 就是根据这40个参数进行排序和md5散列、加密。实际是多少参数就考虑多少参数,忧心不存在的和没有出现的其它情况干什么啊?!
xdashewan 2017-07-14
- 打赏
- 举报
我不明白,你传了50个参数也好100个参数也罢,这些参数你都得用,既然要用那么一个个取得参数进行验证再正常不过了,这有什么好纠结的
娃都会打酱油了 2017-07-14
- 打赏
- 举报
所以还有种方法是在签名判断里面判断过滤啊,即Request不关心参数实际情况,而是在签名方法里面将null值过滤掉
【Help】 2017-07-14
- 打赏
- 举报
这种一个个判断不科学,因为可能有100,几百个就麻烦了
娃都会打酱油了 2017-07-14
- 打赏
- 举报
你是服务提供方,所以这个是由你来约定,我们现在的做法是这样的
声明一个类来接收参数,这个类继承自接口,比如
interface IRequest
{
SortedDictionary<string, string> GetDictonary();
}public class XXRequest:IRequest
{
public string Name{get;set;}
public SortedDictionary<string, string> GetDictonary()
{
SortedDictionary<string, string> dic = new SortedDictionary<string, string>();
if(Name!=null)
{
dic.Add("name",Name);
}
//或者直接赋值,在你签名方法里进行空值和null值过滤
}
}
