api签名认证

参数列表：

data: {
      sign,
      uid或是openId,
      version,
      timestamp,
      param
}

sign

签名一般情况下，根据如下几项生成，通过md5或是aes加密：

• 接口 url
• 时间戳 timestamp
• 用户 Id 或是 微信openId
• 接口参数 paramStr
• 一般用uuid加密生成 cryptToken

(url + timestamp + guid + paramStr + cryptToken)

token生成机制

• 一般设计都会有一台认证、授权服务器，用户登录后向服务器提供用户认证信息（如账户和密码）。
• 认证成功，生成token（一般使用uuid）令牌。当然token也是加密处理后的。
• token返回客户端的同时服务端也会保存一份（写入redis或数据库）。uid作为key，这样就可以对应到每个用户。
• 当用户退出登录时必须使其对应的token失效，或删除。
• 客户端把token存储到cookie或是客户端数据库。

uid或是openId

• uid是普通系统用户标识
• openId是针对微信公众平台的用户身份标识

version

api接口版本。api接口肯定会不断的迭代升级，把新版本注册到服务中心，根据不同的版本号适配接口。

timestamp

• 判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间（时间自定义如半个小时），如果超过则说明该url已经过期（如果url被盗，他改变了时间戳，但是会导致sign签名不相等）
• 客户端每次发起请求就会携带当前时间

paramStr

接口请求参数。

关于JWT的token，如果被截取了

首先这不是JWT的问题，而是http通讯的安全问题，总所周知http是采用的明文通讯，所以很容易就能够被窃取到http通讯报文。现在网站大多是http通讯，那也都面临着cookie被截取的问题，JWT同理

解决办法：

采用https 或者 代码层面也可以做安全检测，比如ip地址发生变化，MAC地址发生变化等等，可以要求重新登录

参考：

基于Token的WEB后台认证机制

基于token的身份验证-2.0版本