從eclipse到android studio的安卓開發經驗告訴我原聲開發才是硬道理,其實以前很抵觸html5開發app的,雖然沒有去了解過,但是冥冥中就覺得它運行速度太慢了,加載渲染根本比不上原生開發,並且如果系統與硬件交互比較深的話就更沒法使用html5了。一個偶然機會,我開始接觸html5開發app,總之各有各的優缺點,如果對資金比較短缺 ,那麼久先使用html5開發與一個app湊合著用吧,不過沒有想象中的那麼垃圾,其實優點還是蠻多的。想學的可以自己 體會一下。
APP設計之初當然要先考慮安全性問題,並且能夠達到高效,我在這裡簡單分享一下我的做法(查閱網上的資料做的),app需要與服務器進行交互,通過調用服務器提供的api獲取數據,並展示出來。如果服務器api接口沒有做任何防護,那麼會被他人惡意調用,輕者會加重服務器負擔,重者可能造成經濟損失。
首先我們需要能夠識別調用者是否為合法用戶,如果合法,則返回數據,不合法就直接禁止掉。(下邊會將登錄與未登錄情況),服務器端使用的是asp.net web api。客戶端發送請求時,加入sign,ts,deviceid...sign=加密算法(ts+deviceid+***),具體方法看個人,服務端獲取到這些數據後,在服務端進行判斷,如果時間在5分鐘以為,或者簽名不正確等問題,就立即禁止訪問。訪問級別設置為三級:1、不需要任何驗證,可以隨意訪問。2、只能自己的客戶端能訪問,做簽名認證。2、登錄認證,必須登錄才能訪問。登錄認證使用比較流行的token方法,當用戶登錄的時候,如果登錄成功,服務器按照一定規則生成已串加密字符串作為token,然後發送給客戶端,從那以後客戶端每次請求數據都需要將token和用戶名提交給服務端,有服務端確定是否為合法登錄用戶,如不是那麼客戶端跳回到登錄頁面,重新登錄驗證。
1 using System;
2 using System.Linq;
3 using System.Net;
4 using System.Net.Http;
5 using System.Web.Http.Controllers;
6 using System.Web.Http.Filters;
7 using KubuServerBLL;
8 using yxxrui;
9
10 namespace ****Server
11 {
12 public class MyApiActionFilter : ActionFilterAttribute
13 {
14 public const int NOT_AUTHENTICATION = 1;
15 public const int NOT_LOGIN = 2;
16 public const int NEED_LOGIN = 3;
17 private const string ApiPrivateKey = "aaaaaasdfadfadfgfdgjldfajooilsdkjfad***sfhdjk";//客戶端和手機端保持一致
18 private readonly int _level;
19
20 public MyApiActionFilter()
21 {
22 _level = NEED_LOGIN;
23 }
24 public MyApiActionFilter(int level)
25 {
26 _level = level;
27 }
28
29 public override void OnActionExecuting(HttpActionContext context)
30 {
31 //三個級別,1、不需要驗證 2、需要認證是否來自合法的客戶端 3、是否正確登錄
32 switch (_level)
33 {
34 case NOT_AUTHENTICATION:
35 break;
36 case NOT_LOGIN:
37 if (IsForbidden(context))
38 {
39 context.Response = new HttpResponseMessage(HttpStatusCode.Gone);
40 }
41 break;
42 case NEED_LOGIN:
43 if (IsForbidden(context) || IsNotLogin(context))
44 {
45 context.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
46 }
47 break;
48 }
49 //如果該請求是不合法的,那麼禁止
50 base.OnActionExecuting(context);
51 //驗證通過
52
53 }
54
55 private readonly UserBll _userBll = new UserBll();
56 private bool IsNotLogin(HttpActionContext context)
57 {
58 try
59 {
60 //獲取請求頭信息
61 var requestHeaders = context.Request.Headers;
62 //設備ID
63 var usernameH = requestHeaders.Where(d => d.Key == "username").ToList();
64 string username = usernameH.Any() ? usernameH.First().Value.ToArray()[0] : "";
65 if (string.IsNullOrWhiteSpace(username))
66 {
67 return true;
68 }
69
70 //請求簽名
71 var tokenH = requestHeaders.Where(d => d.Key == "token").ToList();
72 string token = tokenH.Any() ? tokenH.First().Value.ToArray()[0] : "";
73 if (string.IsNullOrWhiteSpace(token))
74 {
75 return true;
76 }
77 var isLogin = _userBll.CheckToken(username, token);
78 return !isLogin;
79 }
80 catch
81 {
82 return true;
83 }
84 }
85
86 /// <summary>
87 /// 驗證請求頭
88 /// </summary>
89 /// <param name="context"></param>
90 /// <returns></returns>
91 private bool IsForbidden(HttpActionContext context)
92 {
93 try
94 {
95 //獲取請求頭信息
96 var requestHeaders = context.Request.Headers;
97 //設備ID
98 var deviceIdH = requestHeaders.Where(d => d.Key == "deviceId").ToList();
99 string deviceId = deviceIdH.Any() ? deviceIdH.First().Value.ToArray()[0] : "";
100 if (string.IsNullOrWhiteSpace(deviceId))
101 {
102 return true;
103 }
104
105 //請求簽名
106 var signH = requestHeaders.Where(d => d.Key == "sign").ToList();
107 string sign = signH.Any() ? signH.First().Value.ToArray()[0] : "";
108 if (string.IsNullOrWhiteSpace(sign))
109 {
110 return true;
111 }
112
113 //10位時間戳
114 var tsH = requestHeaders.Where(d => d.Key == "ts").ToList();
115 string ts = tsH.Any() ? tsH.First().Value.ToArray()[0] : "";
116 if (string.IsNullOrWhiteSpace(ts) || ts.Length != 10)
117 {
118 return true;
119 }
120
121 //看看是否失效,前後5分鐘
122 var tsDate = ComHelper.ConvertIntDateTime(ts);
123 if (tsDate > DateTime.Now.AddMinutes(5) || tsDate < DateTime.Now.AddMinutes(-5))
124 {
125 return true;
126 }
127 //服務器端生成的Sign
128 string mysign = ComHelper.To加密(deviceId + ts + ApiPrivateKey);
129 if (!sign.Equals(mysign, StringComparison.InvariantCultureIgnoreCase))
130 {
131 return true;
132 }
133 }
134 catch
135 {
136 return true;
137 }
138 return false;
139 }
140 }
141 }
創建上邊的類,使用方法如下:
1 using System;
2 using System.Collections.Generic;
3 using System.Linq;
4 using System.Net;
5 using System.Net.Http;
6 using System.Web.Http;
7 using ****ServerBLL;
8 using ****ServerDAL;
9 using ****ServerModel;
10
11 namespace ****Server.Controllers.Api
12 {
13 public class NameValuesController : ApiController
14 {
15 private readonly NameValuesBll _nameValuesBll = new NameValuesBll();
16
17 [HttpPost]
18 [MyApiActionFilter(2)]//此處設置標簽攔截,級別設置為不需要登錄
19 public BaseMsg GetUpdateVersion(dynamic obj)
20 {
21 string clientVersion, deviceId;
22 try
23 {
24 clientVersion = Convert.ToString(obj.clientVersion);
25 deviceId = Convert.ToString(obj.deviceId);
26 }
27 catch
28 {
29 return new BaseMsg("信息有誤。");
30 }
31
32 var versionObj = _nameValuesBll.GetValueByName("version");
33 var urlObj = _nameValuesBll.GetValueByName("AndroidUrl");
34
35 if (versionObj == null || urlObj == null)
36 {
37 return new BaseMsg("獲取失敗,請重試。");
38 }
39 if (versionObj.value != clientVersion)
40 {
41 return new BaseMsg(new
42 {
43 Version = versionObj.value,
44 AndroidUrl = urlObj.value,
45 UpdateMemo = versionObj.other
46 });
47 }
48 return new BaseMsg("noNewVersion","已是最新版,不需要更新。",null);
49 }
50 }
51 }
上邊的方法是一個檢查軟件是否需要更新的接口,此方法放到服務器可以實現灰度更新,但可能會加重服務器負擔。如果app需要檢查更新的時候,直接調用該api即可。此接口需要簽名認證。
如果希望有一個接口必須由自己做的客戶端發出,並且用戶成功登錄過才可以訪問,那麼可以將方法上邊的標簽[MyApiActionFilter(2)]中的數字改成3或者直接刪掉即可,如:
1 #region 綁定手機號碼
2 [HttpPost]
3 [MyApiActionFilter]
4 public BaseMsg BindingPhone(dynamic obj)
5 {
6 string phone;
7 string username;
8 try
9 {
10 phone = Convert.ToString(obj.phone);
11 username = Convert.ToString(obj.username);
12 }
13 catch
14 {
15 return new BaseMsg("信息有誤。");
16 }
17 bool ret = _userBll.BindingPhone(username,phone);
18 if (ret)
19 {
20 return new BaseMsg();
21 }
22 return new BaseMsg(@"該手機號已經注冊過。");
23 }
24 #endregion
如果控制器中的所有api方法都需要登錄後才能使用,那麼將標簽放到類上方,如果有n個控制器都需要登錄後訪問,那麼創建一個基類去繼承ApiController,在該類上邊寫上標簽,然後其他控制器繼承該基類,即可快速實現所需功能。至此,服務器端接口就被簡單保護起來了。客戶端的代碼實現等下一篇再寫吧。
