高可用高安全app的api

高安全

背景：接口请求与参数暴露，重要api返回数据明文，登录请求安全，代码层数据安全等

授权码sign算法

登录场景access_token算法

access_token唯一性支持

api一次请求支持

如何做？

基于https进行，采用AES加密（个人所好），基本参数放header，设置常规参数，请求参数，请求参数对称加密params,包含sign不可逆加密

sign(唯一，有效，完整),结合时间戳，生成sign的唯一， 记录sign并设置过期（使用的唯一：是否已记录）

access_token+uid+time response返回头返回，app解密，并加密（前后端协调好的新规则），参数放header，参考sign

请求参数，返回数据，按业务重要性适当加密

 

高可用

基类封装，设计模式穿透

restfui api 开发

第三方接口封装（短信，登录，支付，推送等），业务，静态资源（七牛云等cdn云存储）等处理

api接口版本解决方案（初始化版本获取，api路由变换），升级方案

时间一致性解决方案 (获取服务器时间同步)

api内部异常（基于框架异常抛出，重写定义抛出数据结构以适用于app的api）

app端异常，性能监控及定位解决，系统日志  (除了自己可记录的日志异常，还可接入第三方例如听云，oneapm等的sdk)