一.訪問控制
為了保證用戶不會通過系統發起過多訪問導致影響正常用戶的體驗,每一個API接口都有一定的訪問頻率限制。
訪問頻率主要基於用戶來源IP和操作者用戶名進行限制。當前的頻率限制參數為:1000次/5分鍾/接口/用戶名(appkey)
二.調用參數
三.簽名sign原理
調用API時需要對請求參數進行簽名驗證,服務器也會對該請求參數進行驗證是否合法的。方法如下:
(1)根據參數名稱(除簽名和圖片)將所有請求參數按照字母先后順序排序:key + value .... key + value
例如:將foo=1,bar=2,baz=3 排序為bar=2,baz=3,foo=1,參數名和參數值鏈接后,得到拼裝字符串bar2baz3foo1
(2)系統同時支持MD5加密方式
md5:將secret 拼接到參數字符串頭加密后,再轉化成大寫,格式是:byte2hex(md5(secretkey1value1key2value2.))
操作步驟如下:
第一步:把參數按Key的字母順序排序
第二步:把所有參數名和參數值串在一起
第三步:使用MD5加密
第四步:把二進制轉化為大寫的十六進制
四、案例
1. 設定一個密鑰,比如key='2323dsfadfewrasa3434',該key只有發送方(如:APP、IOS、ANDROID)和接收方(如:服務器端)知道。
2. 發送方調用時,通過簽名原理生成一個access_key。
3. 接收方調用時,同樣通過簽名原理生成一個access_key2。
4. 比較access_key 和access_key2 內容是否一樣。一樣則允許操作,不一樣,報錯返回或者加入黑名單