參考書籍:《App后臺開發運維和架構實踐》
作者:曾健生
App操作中經常涉及用戶登錄操作,用戶登錄就需要使用用戶名和密碼。
那么問題來了:
登錄過程中怎樣才能最大程度地避免泄露用戶的密碼的可能呢?
用戶登錄后,App后臺怎么去驗證和維持用戶的登錄狀態呢?
基本的用戶登錄方案
基本流程:
1.用戶登錄操作;
2.用戶登錄后驗證身份的操作;
3.用戶退出登錄的操作。
轉換為計算機的操作:
1.App后臺接收到App發送的用戶名和密碼后,驗證用戶名和密碼是否正確。如果錯誤返回錯誤信息。
2.如果App后臺驗證正確,生成一個隨機的不重復的
token字符串(例如:daf32da456hfdh),token字符串作為用戶的唯一標識(token就是上面例子中提到的鑰匙)。
3.在Redis中建立token字符串和用戶信息的對應關系,例如,
token字符串和id為6的用戶對應。
4.App后臺把
token字符串和用戶信息返回給App,App保存這些數據作為以后身份驗證的必備數據。
5.需要驗證用戶身份的操作必須要把
token字符串傳給App后臺驗證身份。
eg:test.com/user/update?token=daf32da456hfdh
6.當用戶退出登錄時,通過調用退出登錄的API,讓App后臺把用戶對應的
token字符串刪掉。
注意:
身份驗證依賴于token字符串,如果用戶泄露了自己的URL,那token也有很大可能泄露。改進方法,就是不在網絡上傳輸token,這種方法叫做URL簽名。
URL簽名
1.App后臺中用戶名和密碼驗證正確后,把token字符串和用戶信息返回給App。
2.App用token字符串和URL的md5值作為URL簽名sign。
eg:sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh")= 6dac4026135a123a3cf809a1f1bf1d2a
API請求加上URL簽名sign和用戶id后如下所示:
eg:test.com/user/info?userId=5&sign=6dac4026135a123a3cf809a1f1bf1d2a
這樣token就不需要附在URL上面。
注意:上述URL簽名方法有一個問題:因為API請求沒有過期時間,如果黑客截獲了這個API請求的URL,就能反復調用了。改進方法是在傳遞的參數中增加時間戳,當后臺發現這個時間戳相隔當前時間很久的,就判斷這個URL已經失效。
那App端的時間可能和后臺的時間不一致,所以,為了保證一致,App每次啟動時通過API獲取App后臺的時間,保存App端和后臺的時間差,App端就用這個時間差調整其生成時間戳。
eg:App后臺某一刻時間是1444692778,App時間是1444692775,時間差為3,當App端在時間為1425860754向后臺發送API請求時,時間戳為:1425860757。
App用
token字符串和時間戳生成的md5值作為URL簽名sign。
eg:sign=md5("test.com/user/info?userId=5&token=daf32da456hfdh&timeStamp=1425860757")= 6dac4026135a123a3cf809a1f1bf1d2a
API請求加上URL簽名sign和用戶id后如下所示:
eg:test.com/user/info?userId=5&timeStamp=1425860757&sign=6dac4026135a123a3cf809a1f1bf1d2a
API請求使用了HTTPS協議也不能保證絕對安全,萬一基于HTTPS的API請求被黑客截獲,使用URL簽名會有3個問題:
- 當用戶登錄后,App后臺返回給App的信息沒加密,有被截取的風險。
- URL簽名只能保護token值不泄露,但沒法保護其他敏感數據。
- URL被黑客截獲后還是能在一段時間內調用。
使用AES對稱加密可以解決上面3個問題。
AES對稱加密
1.原理:采用單鑰密碼系統的加密方法,同一個密鑰可以同時用作信息的加密和解密,這種加密方法稱為對稱加密,也稱為單密鑰加密。
2.格式:AES加密(data,secretKey)
3.AES算法加密App后臺返回的token
- 用戶登錄后獲得個人信息。
eg:{"userId":6,"name":"Home","token":"daf32da456hfdh"} - 用時間戳生成HTTP請求頭Token-Param。
eg:Token-Param:1425860757 - 取請求頭的22位長度作為密鑰secretKey。
- 用AES算法把個人信息用密鑰加密,再進行base64位編碼,最后用HTTPS協議返回給App。HTTPS協議內容如下:
| HTTP URL | https://test.com/API/login |
| ------------- |:-------------:|
| HTTP返回方式 | post |
| HTTP返回頭 | Token-Param:1425860757 |
| HTTP body | Base64Encode |
4.客戶端解密App后臺返回的內容:
- 取HTTPS協議中的Token-Param作為密鑰。
- 把HTTP body的數據先用base64算法解碼,用AES算法把解碼后的數據用密鑰解密,獲取個人信息。
5.AES算法加密請求過程中所有的敏感數據
AES同時加密了token和用戶數據兩方面的數據。
例如客戶端加密更新用戶昵稱:
- 客戶端昵稱數據
- 客戶程序中得到當前的時間戳
- 用時間戳生成請求頭
- 取請求頭的22位長度作為密鑰,用AES算法把
token用密鑰加密,再用base64編碼得到新的HTTP請求頭Token-Data。 - 用
Token-Data作為密鑰2,用AES算法把昵稱數據用密鑰2加密,再用base64編碼得到HTTP body。
