一：https保證通道安全
二：下發token保證無登入的使用者不能隨意呼叫服務
三：token有過期時間，保證服務不被長期木馬攻擊
四：對於支付等安全功能，需要另外增加支付密碼校驗和簡訊驗證
五：應用層內做自己的安全協議（對稱、非對稱、打包證書等等）

移動app通過post請求呼叫伺服器的api介面，為了確保伺服器的資料安全和通訊安全，防止資料篡改等惡意攻擊，本人通過查詢資料和思考，總結出了一個方案，個人認為能解決

基本的介面呼叫安全問題，具體方案如下。

首先，移動端通過訪問公開介面與伺服器通訊，使用使用者名稱和密碼（當然是MD5加密）作為引數向伺服器申請TOKEN，伺服器獲取使用者名稱和密碼，伺服器端判斷該使用者是否法，如果合法，服務端為移動APP應用分配APPID （32位隨機字串）以及TOKEN（32位隨機字串）同時伺服器儲存APPID和TOKEN，當然根據應用的不同，伺服器可以為該TOKEN（建立有效期如3600s）後臺就要建立觸發器或者自動作業銷燬token。移動端收到APPID和TOKEN進行儲存，同時返回給使用者與伺服器建立連線成功等提示資訊。之後，移動端請求其他功能介面，介面引數中要增加APPID和TOKEN,其介面格式如下：method(APPID, Token,…其他引數)，伺服器首先驗證token是否有效，進行資料服務完成之後如果token為臨時有效，應重新修改有效期時間起點為呼叫時刻。最後，APP一直沒有訪問服務端，如token永久有效，則沒有後續操作，若token為臨時有效，token過了有效期，驗證無法通過則通知使用者訪問相應介面，重新獲取驗證token。該方案其實是兩步驗證，其實對於一般應用，在使用者註冊的時候，可以同時為使用者生成永久驗證Token，使用者在使用APP進行呼叫服務端API的時候，將該Token配置到系統中，這樣就可以防止惡意使用者直接通過訪問post請求對服務端的資料造成安全隱患。