1.用https保證通道安全:對傳輸內容進行證書加密,保證內容安全。
2.發token,無token用戶不能使用服務:防止非法用戶調用,可以配置在gateway中,使配置更簡單,不用在分布式中的每個服務中都進行配置。免得加大維護難度。
3.token設置過期時間,不被長時間劫持
4.簽名:
- 將參數A(參數中加上時間戳)進行字典排序,得到B,
- B+密鑰(服務端)得到C。
- 將C 使用sha2加密,得到D,(MD5可以碰撞,目前sha1加密已經不安全了,被攻破了,參考:https://www.wanbizu.com/xinbi/20200108157020.html)
- UI 傳遞參數,包含時間戳,以及UI 加密后的D'
- 判斷兩個D和D'是否相等。
5.時間戳