Как создать секретный ключ для API?

Question

[Алексей Коновалов]

Всем привет! Хочу сделать секретный ключ для того чтобы проверять данные от клиента на сервере.
Решил посомтреть как это делают вконтакте и нашел такой метод: https://vk.com/dev/friends.areFriends
В описании к параметру need_sign есть строчка: "позволяет на сервере убедиться что данные не были подделаны на клиенте."

Правильно ли я понимаю, что md5("{id}_{user_id}_{friends_status}_{application_secret}") является хорошим вариантом защиты, и на сервере я могу быть уверен, что если пришедший ключ совпал при проверке с вновь созданным по тому же правилу, то он не подделан?

Comments

[Сергей Соколов]

Опишите схему подробнее. Если на клиенте известен app_secret то во всей проверке нет никакого смысла.

Answer 1

[mamadaliev]

Согласен, вариант достаточно надежен, но я бы ещё добавил что нибудь не относящийся к стандартным переменным. Например,

md5("{id}_{user_id}_mytext1_{friends_status}_mytext2_{application_secret}")

Comments

[Александр Торопов]

можно еще вместо md5 попробовать SHA.
в принципе, есть куда фантазии развернуться...

[mamadaliev]

Как вариант sha1(md5())

[Mysterion]

mamadaliev, имейте в виду, что от того, что Вы sha передаете md5-хэш, надежность не меняется.

[mamadaliev]

Mysterion, я ничего не имел ввиду, просто предложил как вариант.

Answer 2

[Артем]

Так делают многие платежные системы - поэтому да, вариант достаточно надежен.

Answer 3

[ksnk]

Смотря для чего он будет использоваться. Если такой ключ будут передаваться по открытым линиям - его могут перехватить и использовать для авторизации.
Ключ должен действовать ограниченное время. Или ограниченное количество попыток авторизации. Нужно просто сгенерировать случайную последовательность и сохранить ее в базе с привязкой к аккаунту. Там же хранить время, в течении которого ключ будет действовать, и все остальное что может понадобится.

Answer 4

[Виктор П.]

Секретный ключ? )
Посмотрите информацию по JWT