API接口签名校验,如何安全保存appsecret?
发布于 7 年前 作者 linkenliu 7154 次浏览 来自 问答

问题就像知乎上的帖子一样 https://www.zhihu.com/question/40855191。客户端调用api进行签名验证,但是这种方式这个appsecret应该如何安全的保存?

8 回复

@nullcc jwt解决不了这样问题,一个最简单的问题,比如说安卓端要调用服务端api。api.test.com/channels/ 这个接口客户端可直接调用(没有登录的说法) 现在为了保证api 的安全性,打算用签名认证,当创建一个开发者的时候分配相应的app_key 和appsecret 客户端通过key进行排序算法加密,但是如何保证这个key的安全性? 存客户端肯定是不行了,别人拿到apk反编译一下就知道key了

@imhered RSA一个道理,私钥如何安全的保存?

我给你屡屡思路: 1.客户端存私钥不安全。 2.客户端访问服务器 api 需要私钥才能访问。 这样就进入死结了。

@hi363138911 道理都知道,我想说的是一般这种情况都是用什么解决方案?oauth又不太适合这种情况。

这种不应该用登录+session吗?

来自酷炫的 CNodeMD

回到顶部