api认证 - 在用php写android接口时，怎么生成token和sign，保证验证安全的原理是什么

在用php写android接口时，怎么生成token和sign，保证验证安全的原理是什么，如果android的请求链接被抓包，发送同样的请求，怎么判断是被恶意请求的

回复内容：

在用php写android接口时，怎么生成token和sign，保证验证安全的原理是什么，如果android的请求链接被抓包，发送同样的请求，怎么判断是被恶意请求的

一般来说，token是有有效期的，控制好有效期，可以降低被攻击的风险。
而sign是为了保证数据的完整性，不被中间人篡改。
如果你在请求里还加上时间戳，那么对中间人来说，至少是不能直接重放数据了。

建议直接上https，直接防止抓包，伪造请求就更不用说了。比使用Sign方便得多。

如果非要使用Sign，一般是把请求的参数通过加密签名获得一串签名串一同传给服务器，服务器同样把除了签名串的参数进行相同的加密签名运算，在和客户端传来的签名串进行比较，如果不匹配，就说明请求已经被修改，是伪造的。

建议采用Json Web Token，可以控制token过期时间

Oauth不解释，关于原理看阮老师的文章
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

app接口设计