例如接口请求数据:abc,签名123,时间戳100,那么如果以上请求被截获,并以截获的数据重复请求服务器岂不是验证签名会被通过吗?假如验证时间戳是否小于当前时间来解决这个问题好像也不怎么妥,网络延迟、服务器时间差等问题又冒出来了,不知道是不是我的思路不对,求指点!
https或者使用一次性随机token
http://stackoverflow.com/a/9774597/2586541
感谢@Chobits
目前采用非对称加密,类似微信公众号消息加密那种
例如接口请求数据:abc,签名123,时间戳100,那么如果以上请求被截获,并以截获的数据重复请求服务器岂不是验证签名会被通过吗?假如验证时间戳是否小于当前时间来解决这个问题好像也不怎么妥,网络延迟、服务器时间差等问题又冒出来了,不知道是不是我的思路不对,求指点!
https或者使用一次性随机token
http://stackoverflow.com/a/9774597/2586541
感谢@Chobits
目前采用非对称加密,类似微信公众号消息加密那种