客户端与服务器通信中的安全使者——AppSecret-zhuangtim-ChinaUnix博客

Van&nbsp;Persiezhuangtim.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

zhuangtim

博客访问： 469881
博文数量： 83
博客积分： 92
博客等级：民兵
技术积分： 690
用户组：普通用户
注册时间： 2011-02-25 13:33

文章分类

全部博文（83）

ARM（1）
Me（3）
WORK_E97（2）
嵌入式基础（4）
Wince（8）
Android 应（8）
Linux（9）
ubuntu（8）
VC编程（0）
C基础知识（5）
Android（5）
Java（3）
Linux Drive（26）
未分配的博文（1）

文章存档

2014年（3）

2013年（59）

2012年（16）

2011年（5）

我的朋友

相关博文

客户端与服务器通信中的安全使者——AppSecret

分类： Android平台

2013-11-01 09:38:01

作为一个移动互联网App，天生是需要和服务器通信的。那么，服务器如何识别客户端的身份？我们如何保证数据传输过程中的安全性？要靠两个东西：使用AppKey做身份识别，使用AppSecret校验数据。

这两个东西的定义可以参考淘宝开放平台上这种比较严肃的说法：
AppKey
客户端调用API时的唯一标识，服务器通过App Key来鉴别应用的身份。调用API接口时必须传入的参数。
App Secret
App Secret是服务端给客户端分配的密钥，用来保证应用来源的可靠性，防止请求数据被伪造。

其中，AppKey用来标识客户端的身份，通常保密性没有什么要求。就好比别人知道了我们的名字并不能假冒我们的身份一样。但AppSecret就不一样了。
先说一下App Secret的使用流程。

一个App请求中，通常包含AppKey、业务数据、时间戳等等。我们把这些信息定义为A、B、C。我们要把A、B、C这些信息发往服务器肯定不能直接扔过去，那么毫无安全性可言。通常的做法是把A、B、C和AppSecret（D）一起需要做一个校验，生成一个校验码（sign client），把校验码和A、B、C一起发送给服务器，服务器收到信息后，根据客户端发来的AppKey从数据库中检索对应的AppSecret，然后也同样把A、B、C和AppSecret（D）一起做一个校验，生成一个校验码（sign server）。如果sign client和sign server相同，就证明数据在传输过程中没有被修改过。
可以看出，整个过程中D（AppSecret）和校验过程是旁观者无法得知的。但是校验过程无非就那么几种算法，很好破解。所以说，AppSecret的保密工作就很重要了。

怎么做好AppSecret的保密工作呢？
写在代码里？Java很好编译呢。
做为资源文件？更二。
去服务器请求？请求过程会被劫持噢。

目前，最简单有效的办法还是打到.so库中。

本文转自http://blog.csdn.net/a345017062/article/details/8643870

阅读(6340) | 评论(0) | 转发(0) |

上一篇：移动App的登录解析

下一篇：java设计模式:Singleton 模式

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6