app开发的时候，如何保护app的接口呢？

用https是我想到的办法，但是不知道怎么实现，所以就考虑用token，虽然不是绝对有效，但是能防止一般的用户来攻击，高手非要攻击，只能报警了吧。

token=“$(参数md5|按一定规则修改的字符串|时间戳|用户Id)$”=fasdfasdfasdfasdfadfadfasd

服务器端构建一个token

服务器端的token还是很重要的，最重要的是里面有一个时间戳，当客户端将serKoken提交过来的时候，可以用时间限制，serToken的有效时间，如果不在时间限制内，或与上次的ip不同，或与上次的设备信息不同，那么就认为，url非法。

token可靠的前提是：

1）app端不被反编译，攻击者不知道你的构造clientToken的方法；

2）服务器端serToken生成复杂，算法不被猜出，验证足以严格，限制攻击者不能伪造出服务器端token，特别短时间失效原则，限制一般攻击者没时间猜出token

客户端构建一个token：

string serToken=GetServerToken(string ip ,string userName,string deviceInfo,string tag);--dedc080af089bccd7fbdf708e3c06898    //获取一个服务器端token

string clientParmMd5=Md5("name=test&Value=123");  --a95bc463f71a08ba40e64e52d23b9284  //对参数md5

string clientIp="103.16.127.226"; //客户端ip

string deviceInfo="xxxxxxxxxx";

string userName="curAppUserName"; //当前app用户

string startStr="as11as(";

string endstr=")end";

string clientStr=startStr+clientParmMd5+"|"+serToken+"|"+clientIp+"|"+deviceInfo+userName+endStr;   //待加密的client字符串

string clientToken=GetClientToken(clientStr);

//发起请求

string url=xxxx.com?name=test&Value=123&token=clientToken

服务器端解析验证token

//解密客户端提交过来的token

分解为："as11as(a95bc463f71a08ba40e64e52d23b9284|dedc080af089bccd7fbdf708e3c06898|103.16.127.226|xxxxxx|userName+endStr"

//解密服务器token

string serToken="dedc080af089bccd7fbdf708e3c06898";

string [] serTokenArr=DecrySerToken(serToken)

这里有一个验证服务器端token的策略，用来验证提供的服务器端token，是否还有效，如果无效直接停止后续判断操作。

//serToken验证通过，然后判断url中的参数是否被篡改，

string nowParMd5=Md5(Request.QueryString["name"]+Request.QueryString["Value"]);

string oleParMd5=clientParmMd5;

//判断如果被篡改，那么就返回提示信息，

注意收集客户端的信息，如果有恶意攻击，那么证据将会被保留。

如果你的app被反编译了，而且被攻击者知道了你构建token的方法，那么就只能被攻击了，报警解决吧。

服务器安装证书使用https或者ssl，再结合auth认证可以解决，app被别人调用的问题。

这个方案是有效的吗？