php - Conjecture sur la possibilité que le signe de l'interface soit fissuré

Question

<?php

//保密token串
$token = '249238jdush24hgdddf/sds_assd_&ssa23_sd';
//业务参数对开公开
$str = 'name=zhangsan&id=23';
//保密的签名算法
$sign = md5($str.$token);

想请教下大家,我的接口签名是这样封装的，那么sign被破解的可能性大吗？
有其他更高明的接口安全验证方案吗？

Answer 1

Tant que votre token n'a pas été divulgué, cette méthode ne posera aucun problème.
Une solution plus confidentielle consiste à ajouter timestamp, par exemple, toutes les demandes de plus de 600 secondes seront invalides.

Answer 2

Ajoutez app_id et app_secret, app_secret est confidentiel

Answer 3

Si l'adresse IP du demandeur est relativement fixe, vous pouvez ajouter une liste blanche d'adresses IP pour vérifier l'adresse IP.