Moakap译，原文 OAuth 2 VS JSON Web Tokens: How to secure an API

本文会详细描述两种通用的保证API安全性的方法：OAuth2和JSON Web Token (JWT)

　　数据信息安全对我们每个人都有很重要的意义，从接触互联网起，我就明白了数据的重要性，我对数据安全的要求极其高，毫不夸张的说我的电话从来没有接过推销和骚扰电话，我本人很讨厌这种事情，对买卖数据和泄露数据的事情比较痛恨，自从做了金融以后，我对数据安全的认识又有了新的认识，接过几家支付通道后，对支付方面的业务有了了解，根据业务需要我开始写支付外放接口，说实话安全设计很让我头痛，最初使用的方式是对报文进行MD5加密，并得出一个签名串，签名串=MD5(原文&密钥)，如果黑客截取报文，并篡改报文，那么服务端进行验签的时候，将不会通过，因为报文变化了，算出的签名串会改变，那么黑客需要重新计算出签名串，要算出签名串，需要知道加密规则，密钥，这种方式虽然保证了安全，但是存在一个问题，报文是暴露的，黑客并不更改数据，他只是记录保存你暴露的数据，这样也是非常危险的，经过借鉴和学习采用了另一种解决方案，为保证接口调用过程中报文的完整性，报文使用MD5 签名算法，为保证接口调用过程中对用户的敏感信息的保护，对涉及用户敏感信息（如账号，名称，手机号等）的域进行AES 加密。