JBolt平台API应用开发中心-API接口CheckSign原理

在JBolt极速开发平台中创建的API应用程序,例如创建一个小程序应用,会自动为其分配AppId和AppSecret。


AppId和AppSecret

AppId是这个应用的唯一标识,AppSecret则是用来生成加密jwt的。
另外,针对每个应用,都提供了checkSign机制。


checksign

也就是,除了默认的Jwt请求生成、签发、接口调用时候校验JWT之外,又增加了一步安全措施,前者可以通过postman工具,轻松模拟,当然这样也便于接口调试。后者,则稍微提高了一点安全性,通过客户端将时间戳,随机字符串和JWT信息进行排序加密后,生成sign校验值,调用接口的时候携带。

sign生成算法
调用接口,带着sign

后端的拦截器,拦截到调用接口,根据APPID知道你调用的是哪个Api应用的接口后,看看这个应用是否开启了checkSIgn?


checksign校验

如果开启了,就得校验一下合法调用了。
如果校验sign失败,就直接返回校验失败信息了。

从header中拿到随机字符串、时间戳和sign值,还有jwt值,跟客户端同样的算法,算一遍,看看是否与sign值相同就行了。


校验过程

全部教程:

JFinal-JBolt开发平台从入门到精通-系列教程

JFinal开发者计划-2020版本全新上线

JFinal开发者计划-2020版本全新上线:https://mp.weixin.qq.com/s/iddrEnpB7ZkZdQSsCLWJRg

推荐阅读更多精彩内容