android webservice接口鉴权方案
一般的构造方法这里以eoe网络接口很久前的相关约定为例:
接口根地址:
API_ROOT = http://ws.eoeandroid.com/api/v1
公共测试key:
api_key: 3YXNgING8f5Ugiq9J27XjQ
api_secret: GNBu298hQemoO4INRkAyS5YDtKaq8ds4KTAue45iyE
公共参数:
参数名取值含义备注uniquely_code字符串该用户手机的设备号必需,可取设备唯一码api_key字符串分配的api_key必需nonce字符串唯一码必需timestamp数字时间戳,标识访问时间必需api_sig签名值按照规则计算出来的签名必需alt字符串,目前支持xml需要返回结果的数据格式可选,默认值: xmlpage数字获取结果集的第几页结果可选,默认值: 1limit数字结果集每页返回几条结果可选,默认值: 20locale字符串,格式为zh-rCN当前用户的locale代码可选,默认值:unknown-rUnknown
PS:
每个接口除了其各自业务逻辑需要的参数外,还需要包含如下公共参数。
鉴权规则:
计算签名值:
api_sig =MD5("api_key"+@api_key+"+"nonce"+@nonce+"timestamp"+@timestamp+"uniquely_code"+@uniquely_code+api_secret)
发送请求:
如上参数列表中的必需的参数,加上计算出来的api_sig通过GET方式发送。
当然还有其它的一些方式,比如将入参首字母排序然后加上“secret key”做hash等等,不过总体来说一般的鉴权方式都大同小异。如果公司接口采用了上面所说方法,而且安全级别要求又特别高的话,建议用NDK实现。
