h5网站前后端分离接口签名安全性
众所周知,APP都是基于接口传输数据的,因为它的源码不可得,反编译。所以在APP客户端保存一个秘钥,然后调用后台接口时,将秘钥和post的字段一起加密作为sign传给后台,秘钥本身不传的。
后台根据APP传的字段和之前约定好的秘钥加密,比对sign是否一致,从而保证数据一致性。
那么问题来了,在h5网页上,加密方法所有源码都是可见。都能被抓包篡改,如何保证数据安全。HTTPS可以解决,但费用贵。
另外有人说在header里面放token,都是可见的照样改,或者每次请求后台动态获得秘钥在参照APP方案签名,也是可见的。
一般传统都是后台加载视图,只在少数页面用Ajax从后台取数据,页面是后台输出的。
如果h5网站完全采用APP一样前后端分离,接口签名上,有没有好的建议。。