android 常用api 接口签名验证

从登录注册说起该验证的全部过程：

1.android 登录时一般是这样：

loginData.put("name", userNameText.toString());loginData.put("password", passWordText.toString());loginData.put("platform", "android");//同步方式try {    //调用登录接口网络请求    JSONObject response = okHttpManager.post(login_url, loginData);

2.在客户端在登录成功时记录以下信息

//保存用户信息, 常用的单独保存PreferenceManager pm = PreferenceManager.getInstance();pm.setString("user_id", loginDetail.getString("user_id"));pm.setString("app_token", loginDetail.getString("app_token"));pm.setString("app_ticket", loginDetail.getString("ticket"));pm.setString("userinfo", loginDetail.toString());

那服务器端返回的app_token 以及ticket 是怎么产生的呢有什么作用呢？????

3.服务器端接收到登录信息后应该是这样处理：

//生成token$app_token  = empty($userInfo['app_token']) ? $this->genAppToken($retParams['name'], $retParams['platform']) : '';

这个时候将更新users表的 app_token字段。

//生成ticket$ticket = $this->genAppToken($userInfo['user_id'], $userInfo['mobile']);

这个时候判断check_online表有没有该条数据，如果没有将其插入到online_user表中，该表的设计应该是这样：

(这个表的作用是记录成功登录也就是正在线上的表，如果登出的话就应该将这条记录删除)
并将（userid跟ticket）做索引
（所以判断用户是否在线可以通过user_id 或者通过ticket 做判断）
这个genAppToken 可以用md5 或者sha 都行，反正就是单向加密的都可以,这个时候可以进行api 接口签名验证工作

客户端逻辑跟服务器端逻辑相似

服务器端如下：

api的话需要区分是否需要登录的接口所以这块需要做到免验证判断：如下可以实现

$loginArr  = array('login', 'register', 'mobile_verifycode_login', 'forget_password', 'send_email', 'createSMS', 'check_exis    ts', 'notifySync', 'wx_auth_register','wx_auth_login'); 60             if (!in_array($method, $loginArr)) { 61                 $this->load->model(array('User_model')); 62                 $operator      = $this->isLogin(); 63                 $this->operator = array( 64                     'user_id' => (int)$operator['user_id'], 'ticket' => $operator['ticket'] 65                 ); 66             }

简单的对数组进行添加就可以实现添加免验证的接口，根据上面做的online_user表的工作，很显然能知道判断一个用户是否已经登陆只要根据他的user_id 或者ticket就能够判断，如果不在线则跳到登录页

在免接口验证中，显然不能通过ticket 来进行对用户的区分，所以我们用了sign签名的方式来解决API签名的一些问题

请求参数是否被篡改
请求来源是否合法
请求是否具有唯一性

所以加签策略可以如下所示：

$sign  = $params['sign'];269         $timestamp  = $params['timestamp'];270         $secret = “123sqweqweq“;    //换成自己的secret271272         $app_ticket = $this->input->get_post(COOKIE_TICKET);273         $app_token  = '';274         if (!empty($app_ticket)) {275             //获取app_token276             $cacheData  = $this->ciredis->hGetAll('online:ticket:' . $app_ticket);277             $userInfo  = $this->User_model->get(array('user_id' => $cacheData['user_id']));278             $app_token = !empty($userInfo['app_token']) ? $userInfo['app_token'] : APPSECRET;279         }

客户端往服务器端传参数的时候，对其是否传app_ticket 做判断，如果有则用这个app_ticket 对表或者缓存中去app_token （要注意 app_ticket 跟app_token不能放在一个缓存或一个表中，还是需要user_id做关联）

//过滤掉sign285         unset($params['sign'], $params['s']);286         //排序287         ksort($params);288         reset($params);289290         //拼接字符串291         $arg = "";292         while (list ($key, $val) = each($params)) {293             $arg .= $key . "=" . $val . "&";294         }295         $arg    = rtrim($arg,'&');

先保存起来用户传递的签名，需要服务器端用自己的方法生成签名，然后跟客户端传来的签名做匹配，如果成功就通过，否则就报签名错误

一般服务器端验证签名步骤都是这样：

1.先排序ksort

2.拼接字符串

foreach($params as $key=>$val) {     $arg .= $key.”=“.$val.”&”;}

3.然后对拼接完的字符串再加一段随机数进行md5 或者 sha 加签,类似如下:

key = "123aqwqw";$newSign = sha1($arg."$key");

这个时候得到的newSign 就是服务器所生成的sign（当然其中的加签字符串可以设置长些复杂些）;
那这个newSign 跟客户端传过来的sign 做匹配。相同则通过.

这样做的好处如下：

newSign 是根据所传递的参数进行加密的所以当其他人更改参数的时候，服务器端产生的newSign 必定与客户端传递的sign 不同，签名则不匹配
这个时候就会有人问如果我劫持了客户端的代码同时获取了客户端的加签程序，不就可以更改客户端的sign了吗。

是这样的，所以android 经常使用jni 用c写一套加签的流程，这块代码是反编译不能获取不到的（这块代码是编译到so 文件中的），所以保证了客户端的代码安全

客户端代码如下：

secret  = PreferenceManager.getInstance().getString("app_token");ShowLog.e(url);addTicketToParams(params);buildSign(params);

在网络请求的地方进行加ticket 加 sign（网络请求这块必须要做成公共调用，这样才能实现对接口访问的统一，可以做成单例模式。）

secret 作用是获取登录那会保存的app_token,
addTicketToParams 用来对params 进行加入ticket ，这个ticket 也是使用登录保存的ticket

重点在buidlSign这个部分。

params.put("timestamp", Long.toString(timestamp));params.put("appsecret", secret);Map<String, String> sortedParams        = new TreeMap<String, String>(params);SetString, String>> entries  = sortedParams.entrySet();StringBuffer buffer = new StringBuffer();byte[] bytes    = null;try {    for (Map.Entry<String, String> entry : entries) {        if (buffer.length() > 0) {            buffer.append("&");        }        buffer.append(entry.getKey()).append("=").append(entry.getValue());

获取时间戳以及获取之前的secret 也就是app_token
然后也跟服务器端一样遍历并挨个加＝以及& 然后这时候加入jni 的编写的c语言程序加参
跟服务器端逻辑类似只是用c 来实现服务器端php语言的实现效果
这个时候会返回一个字符串sign，然后

arams.remove("appsecret");ShowLog.e(params.toString());params.put("sign", doencrypt(buffer.toString()));ShowLog.e(params.get("sign"));

将这个字符串加入sign 并与服务器端交互

这就是整个API接口签名验证的整个过程。

这块要注意的点在于不管是需要验证还是免验证的接口必须让app_ticket 以及app_token 成对出现(要么都有要么都没有)

android 常用api 接口签名验证