关于 手机 App 是用 OAuth 授权获取数据 还是 jwt?

问答 新奇 ⋅ 于 3个月前 ⋅ 最后回复由 新奇 3个月前 ⋅ 604 阅读

我用laravel开发了一个网站

网站做了个 restful api

现在做了一个手机客户端 用户 不需要登录 就可以看到 网站新闻,视频等信息 比如像腾讯新闻app 这样的

困惑我的问题是 我手机app 需要用哪种办法 稍微安全的去保护我获取信息的途径呢?

很早之前做个一个 我是在ios app里面 加入了 username + password 用 jwt来获取token, 然后对该用户 开放所有的数据权。

请问各位大神有没有什么更安全一点的办法或者更好的办法。谢谢

回复数量: 4
  • DavidNineRoc 当神不再是我们的信仰,那么信仰自己吧,努力让自己变好不辜负自己的信仰...
    3个月前

    只是自己使用API的话,应该还用不到OAuth ,可以考虑加一个参数sign,无论是否需要登录都要校验。这样可以过滤别人的请求。

  • 新奇
    3个月前

    @施国鹏 请问大神 在网上搜索了一下

    一、签名参数sign生成的方法
    第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。
    第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。
    第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。
    第2步: 在上一步得到的字符串前面加上验证密钥key(这里的密钥key是接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串,然后转成大写.
    第4步: 计算第3步字符串的md5值(32位),然后转成大写,得到的字符串作为sign的值。

    大神你说的sign是这个吗?

  • DavidNineRoc 当神不再是我们的信仰,那么信仰自己吧,努力让自己变好不辜负自己的信仰...
    3个月前

    @新奇 是的

  • 新奇
    3个月前

    @DavidNineRoc 谢谢大神

暂无评论~~

  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!