开发一个网站 api 接口要加验证，请帮忙看下我的方法是否安全

不够 还要加上当前时间 以及一个随机字符

当前时间确保在一定时间内，比如在60秒内这个请求才有效，否则无限期的尝试……
随机字符串来确保请求在60秒内只处理一次，以免多次提交产生多次功能

建议 api 用 https
另外注意重放攻击

@NewYear 多谢，这两个也加上

不够安全，appid或者app_id呢，你只给一个人用吗？

然后还有注意for update(重放)攻击

感觉不够，容易猜出key。
如果说内部数据的接口，还需再加强。@NewYear 的方法挺不错

@iyaozhen 忘记看了 hash别用md5了 用sha256之类的吧 hash长点更有安全感

或者自己修改md5函数 别人得不到你的算法 就不知道你的hash怎么计算 自然也就无法破解了

@NewYear

sha256+1

@xoxo 是只给一个人用

hmac
http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

@NewYear 在这个场景里, SHA 没有比 MD5 更安全. 自己修改MD5函数也没意义, API本来就要在client和server共同使用, 所以代码必然是开放给client的.

@gdtv 用公钥/私钥更好.

@invite 在我这个需求里client和server都是自己公司的网站，不会开放给别人使用

@gdtv 都是自己的站的话考虑直接IP白名单吧

一般是hmac加一个自定义的key吧

我給樓主一個最簡單的例子，也如1樓所說，正式微信的做法：
http://mp.weixin.qq.com/wiki/4/2ccadaef44fe1e4b0322355c2312bfa8.html


signature 微信加密签名，signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。
timestamp 时间戳
nonce 随机数
echostr 随机字符串


加密/校验流程如下：
1. 将token、timestamp、nonce三个参数进行字典序排序
2. 将三个参数字符串拼接成一个字符串进行sha1加密
3. 开发者获得加密后的字符串可与signature对比，标识该请求来源于微信

今天也写了一个接口验证方法，又翻到这个帖子，验证基本参照微信公众号来的。不过如果服务端不做进一步验证的话还是非常有可能被重放攻击。
1楼 @NewYear 说的太经典了，当时看帖子的时候理解不是很透彻。

不过要是前端js的话就比较悲剧了，token直接暴露了，要验证的话就需要别的方法了。

@iyaozhen 主要是 限制时间 随机值 签名 最好是过一段时间换一下安全码

@NewYear 问一下，如果前端，或者app端的本地时间不准，相差几分钟，几小时，那么时间戳这个验证就通不过了？app 的请求就是判断非法？