请教接口 signature 的问题

参数里加个类似时间戳的随机数，稍微增加点难度

上公私钥

楼主知道 36 的 100 次方是多大的数吗？

阀值：阈值

@leo108 首先，我们用的 32 位 md5，其次，类似彩虹字典，大数据暴力破解这些，你知道吗？

简单的办法，可以先对其中的某个参数先进行一次 md5，再拼接，再整体 md5。

@GGGG430 这里的 100 指的是被签名参数的长度，100 已经是非常保守的数字的

@silverbooker 多层 md5 我在以前的一个 webshell 中见过，意义不大，黑客无非多破解一层即可

md5(md5(key+md5(key)))

@leo108 signature 的长度无非就是付出与收获的正比，当某个接口的数据足够重要，再长的长度也就没有了意义

彩虹表都是针对于常见密码制作的，urlencode 后请求参数这些光&符号和=号就已经不符合一堆彩虹表的制作习惯了。

一般 md5 前会约定秘钥(salt) 才是决定接口是否安全的因素之一，一般的 salt 可能是约定好的字符串也肯能是请求头中的某个参数
客户端和服务端会约定参数中加入时间戳，超过一定时间窗口的请求会被服务端丢弃的。
而且有些接口会让你添加一些随机字符串防止相同参数相同请求生成的签名重复

接口使用签名保护接口核心就是需要保护秘钥不泄露，其次才是考虑如请求重放服务端是否需要考虑幂等性之类的至于彩虹表压根不会在考虑范围

@GGGG430 建议先学一下初中数学，基本的 log 运算什么的，然后搜索一下『宇宙有多少原子』

@leo108 求你别再这里说了, 很讨厌你这种杠精, 题主是来寻求帮助的, 不是来听你杠的

什么价值的服务值得去破解 md5 ？

参数到一定程度的时候，预先算出的彩虹表请问用什么来装？全球的硬盘都不够用，谁会无聊存那么多彩虹表，你怕是对彩虹表有什么误解吧

@summerwar 需要考虑实际情况, 毕竟真实情况下客户端也不会使用超过一定长度的密钥的

恍惚间以为自己活在上个世纪。

2004 年开始，MD5 已经不能用于任何需要安全性的应用密码方案。

另外楼主语焉不详，请详细描述你需要的安全措施具有的语法、正确性和安全性，然后搜索业界成熟的解决方案。

加 timestamp，用 sha256

const signature = crypto.createHmac('sha256', signingKey).update(timestamp + parameters).digest('hex')

@geelaw
@MiffyLiye
实际场景就是前后端接口的安全问题上, 是否能有一个前后端均能处理的算法, 且具有足够安全性(难以破解)的途径

@GGGG430 别人给你正常的建议你怎么一条都没回呢？加个时间戳就解决了大部分问题，复杂一点上公私钥。还有，没有人会用彩虹表去破解你的签名的