api接口安全性问题

首先是正常的接口安全性设计

1、参数签名，防止篡改（MD5，SHA1，hmacSHA1）

2、防止重放校验（一次性的验证码，接口幂等性）

3、接口加密（RSA，AES等加解密算法），可以采用rsa加密签名，aes加密数据来提高性能

到这里，如果没有账号体系，对于前后分离的web端和android端，相当于接口都是可以模拟成功的，密钥没办法安全保存

网上很多的方式是通过接口获取动态生成的密钥，那么获取密钥的接口安全如何保证，当然这样一般不考虑密钥保存问题，请求允许模拟，这样是足够的

4、用户token验证机制（前提是有账号体系）

这才是保证请求安全的重要依据，登录接口获取临时token，需要防止爆发破解账号密码（手机验证码或图片验证码），后续请求都必须带上token，服务器端校验token有效性

如果别人模拟登录接口接口，但是没有账号密码，是没有办法得到token的，对于有账号密码的情况，我们可以认为这就是一个正常用户，进行正常的访问域验证，防止访问其他用户信息就可以了

这样就算是密钥丢失，也只能调用那些不需要登录的接口，而这些接口一般也没有太大的安全性要求，能做的只是限流