APP通信加密方案

App版接口与pc版接口的区别：

App版：每次请求都需要携带 appId参数（针对所有接口：登录、未登录接口），所有请求都会经过加密签名校验流程，数据 HTTP / HTTPS加密传输。

Pc版：每次请求无需登录的接口没有参数限制要求，需登录的接口必须传userId、token，token为草根金融后台生成，与XX平台的token无关，数据传输为明文。

共同点：两个版本的接口只在mvc层不同，业务逻辑代码为同一套。所有接口均为无状态，网页端、app端需根据接口返回的结果判断用户当前是否登录。所有请求都要带上 accessFrom 参数

App端通信流程详解：

从上至下，按环节说明：

1. 判断appId、appSecret是否存在

appId：

app设备的唯一标识符，由服务端生成，app每次发送请求时，都需要带上此参数。

appSecret

当前设备的通信私钥，由服务端生成

app端需要同时缓存 appId 、appSecret两个字段，appId、appSecret在服务端会有过期时间，2 种情况下需求重新获取：

一、 服务端返回 secret_pass_time_error字符串时，app端在得知私钥过期，此时需要重新获取并缓存。

二、 App刚启动时

2. 发送请求生成 appId 、appSecret

接口地址：

/XXXX/secret_key/generate.json

返回值：

{"data":{"appId":"0c008f12901c4cd2a689635b8f6de0eepe9il7g0e27hfmir","appSecret":"f9f731c1cfc04bc48cd1b9b631709949"},"success":true}

请求成功后，app端需缓存appId、appSecret，并在以后的请求中始终带上appId字段。

注：

在调用该接口时，由于appSecret未生成，所有全程使用公钥加密，并且在以后其他接口调用中，对于 appId字段，统一使用公钥加密、解密。

3. 加密签名过程

加密算法

Aes + base64

Javaapp端代码示例：

// 用于保存请求的参数名
List<String> keys = newArrayList<String>(param.size() + 1);
// 最终发送到服务器的参数键值对
Map<String, String> requestMap =new HashMap<String,String>();
if (appId !=null) {
requestMap.put(AppIdKey,appId);
keys.add(AppIdKey);
}

/** 加密业务参数（私钥） */
for (Iterator<String>it =
param.keySet().iterator();it.hasNext();) {
String paramKey =
it.next();
// 不对appId进行私钥加密
if (paramKey.equals(AppIdKey)) {
continue;
}
keys.add(paramKey);
String encodeValue = EncryptUtil.aesEncode(param.get(paramKey),appSecret);
requestMap.put(paramKey,encodeValue);
}

/** md5签名（私钥） */
// 先对参数名正序排序
Collections.sort(keys);
StringBuilder sb = new StringBuilder();
for (String
key : keys) {
// 所有参数值相加
sb.append(requestMap.get(key));
}
// 最后加上私钥
sb.append(appSecret);
requestMap.put("sign", Md5Encrypt.md5(sb.toString()));

/** 全局加密（公钥）（包含已用私钥加密过的参数值、未加密的参数名以及appId） */
Map<String, String> encrptyParam =new HashMap<String,String>();
for (Map.Entry<String, String>entry :
requestMap.entrySet()) {
encrptyParam.put(EncryptUtil.aesEncode(entry.getKey(),publicSecret), EncryptUtil.aesEncode(entry.getValue(),publicSecret));
}

/** 发送请求 */
String result = HttpRequestUtil.httpPostAccess(ApiAddress +uri,
encrptyParam,"utf-8");

/** 缓存的appSecret过期，需求重新生成appId、appSecret后再发请求
*/
if ("secret_pass_time_error".equals(result)) {
throw
new AppScretTimeOutException("密钥过期");
}

/* 解密响应数据（私钥） */
result = EncryptUtil.aesDecode(result,appSecret);