目前网上所有开放api的网站中,数据的调用都是采用同一种方式,即:
http:www.xxx.com/aa=1&bb=2...,原后对这些参数按字典顺序排序后进行md5加密,将md5加密串与接口方提供的
key接在参数后面提交,如http:www.xxx.com/aa=1&bb=2&sg=md5(...)&
key=3432423,服务器端把这些参数接收后以同样的方式生成md5与提交的sg参数核对是否一致,以达到防止篡改与验证合法性的目的。
我现在的疑问是,既然参数可以被篡改,那篡改者也可以按同样的规则将篡改后的参数连同生成的md5提交到服务器端,那这个md5串加与不加有区别吗?还有这样的验证能起到防篡改的效果吗?谢谢高手帮我解决这个疑问.
原文:http://www.cnblogs.com/sandea/p/4379238.html