关于 手机 App 是用 OAuth 授权获取数据 还是 jwt?

问答 新奇 ⋅ 于 3周前 ⋅ 最后回复由 新奇 1周前 ⋅ 396 阅读

我用laravel开发了一个网站

网站做了个 restful api

现在做了一个手机客户端 用户 不需要登录 就可以看到 网站新闻,视频等信息 比如像腾讯新闻app 这样的

困惑我的问题是 我手机app 需要用哪种办法 稍微安全的去保护我获取信息的途径呢?

很早之前做个一个 我是在ios app里面 加入了 username + password 用 jwt来获取token, 然后对该用户 开放所有的数据权。

请问各位大神有没有什么更安全一点的办法或者更好的办法。谢谢

回复数量: 4
  • DavidNineRoc 当神不再是我们的信仰,那么信仰自己吧,努力让自己变好不辜负自己的信仰...
    3周前

    只是自己使用API的话,应该还用不到OAuth ,可以考虑加一个参数sign,无论是否需要登录都要校验。这样可以过滤别人的请求。

  • 新奇
    3周前

    @施国鹏 请问大神 在网上搜索了一下

    一、签名参数sign生成的方法
    第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。
    第2步: 然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。
    第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。
    第2步: 在上一步得到的字符串前面加上验证密钥key(这里的密钥key是接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串,然后转成大写.
    第4步: 计算第3步字符串的md5值(32位),然后转成大写,得到的字符串作为sign的值。

    大神你说的sign是这个吗?

  • DavidNineRoc 当神不再是我们的信仰,那么信仰自己吧,努力让自己变好不辜负自己的信仰...
    3周前

    @新奇 是的

  • 新奇
    2周前

    @DavidNineRoc 谢谢大神

暂无评论~~
  • 请注意单词拼写,以及中英文排版,参考此页
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
  • 支持表情,使用方法请见 Emoji 自动补全来咯,可用的 Emoji 请见 :metal: :point_right: Emoji 列表 :star: :sparkles:
  • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif
  • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
Ctrl+Enter