api接口问题（API接口安全性设计）

1    
    
    
、客户端通过用户名密码登录服务器并获取Token

2    


     


     


 、客户端生成时间戳timestamp    
    
    
，并将timestamp作为其中一个参数

3




 




 




 、客户端将所有的参数    


     


     


 ，包括Token和timestamp按照自己的算法进行排序加密得到签名sign

4   

   

   

、将token     

     

     

、timestamp和sign作为请求时必须携带的参数加在每个请求的URL后边（http://url/request?token=123&timestamp=123&sign=123123123）

5




  




  




  、服务端写一个过滤器对token
  


  


  

、timestamp和sign进行验证




 




 




 ，只有在token有效     
     
     
、timestamp未超时 




   




   




  、缓存服务器中不存在sign三种情况同时满足   

   

   

，本次请求才有效