浅谈接口认证

本文介绍 Token 认证和 HMAC 认证两种方式。

一、Token 接口认证方式

原理：

客户端使用账号密码等信息登录，服务器验证通过后生成一个 Token 发送给客户端。客户端在后续的请求中携带这个 Token，服务器通过验证 Token 来确认用户的身份和权限。

应用场景：移动应用、Web 应用（特别是 SPA）

优点：

无状态性，即服务器不需要存储用户的会话信息。

易于实现跨域认证。

缺点：

Token 可能被窃取，应使用 HTTPS、不暴露在 URL 中、使用 HttpOnly 的 Cookie、对 Session ID 进行验证、设置合理过期时间、对 Token 进行加密等措施加强防范。

二、HMAC 接口认证方式

原理：

客户端将消息M与密钥K连接起来，通过哈希函数计算得到 HMAC 值，发送给服务器。服务器收到请求后，使用相同的密钥和请求参数重新计算 HMAC 值，如果与客户端发送的签名一致，即是合法请求。

优点：

安全性较高，攻击者很难伪造 HMAC 值，截获并篡改数据也无法通过服务端验证。

计算效率较高，哈希函数（如 MD5、SHA-1、SHA-256 等）计算效率比较高。

缺点：

密钥的更新和管理比较麻烦。

扩展：

在消息体中添加时间戳以防止重放攻击。

加密隐私数据：可以使用对称加密算法（如 AES）或非对称加密算法（如 RSA、ECC 等）对部分隐私数据进行加密。非对称算法虽然更安全，但速度较慢，如需加密大量数据，可以考虑使用对称加密算法进行加密，然后使用非对称加密算法对对称密钥进行加密。