在app开放接口api的设计中避免不了嘚就是安全性问题，因为大多数接口涉及到用户的个人信息以及一些敏感的数据所以对这些接口需要进行身份的认证，那么这就需要用戶提供一些信息比如用户名密码等，但是为了安全起见让用户暴露的明文密码次数越少越好我们一般在web项目中，大多数采用保存的session中然后在存一份到cookie中，来保持用户的回话有效性但是在app提供的开放接口中，后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢以下是参考项目中设计的解决方案，其原理和大多数开放接口安全验证一样如淘宝的开放接口token验证，微信开发平台token验证都是同理

           原理：用户登录后向服务器提供用户认证信息（如账户和密码），服务器认证完后给客户端返回一个Token令牌用户再次获取信息时，带上此令牌如果令牌正取，则返回数据对于获取Token信息后，访问用户相关接口客户端请求的url需要带上如下参数：

         然后将所有用户请求的参數按照字母排序（包括timestamp，token）然后更具MD5加密（可以加点盐），全部大写生成sign签名，这就是所说的url签名算法然后登陆后每次调用用户信息时，带上signtimestamp，token参数

其最终的原理是减小明文的暴露次数；保证数据安全的访问。

           1. api请求客户端想服务器端一次发送用用户认证信息（用戶名和密码）服务器端请求到改请求后，验证用户信息是否正确

  url已经过期（如果url被盗，他改变了时间戳但是会导致sign签名不相等）。