app接口安全性设计浅析

最新推荐文章于 2024-02-20 11:30:00 发布
最新推荐文章于 2024-02-20 11:30:00 发布
阅读量3.1k 收藏 3
点赞数 2
分类专栏: app 接口 md5加密 安全 文章标签: app 安全 设计 加密 md5-aes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cafebar123/article/details/73650905
版权
app 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
接口
1 篇文章 0 订阅
订阅专栏
md5加密
1 篇文章 0 订阅
订阅专栏

之前面试的时候被问到这个,app接口安全性,这个因不同的场景,要考虑的情况也不一样。下面把自己的见闻和思考写一下吧。

(1)签名与加密
这个一般接口中会有的,典型的有MD5和AES。
一个接口形式是:
http://test.com/api/test.html?userId=9&timestamp=14324344&randomString=532sgdfg&sgin=GGERH5363463

sign=MD5(userId+timestamp+randomString)
timestamp 一般用来给服务器验证请求时间区间,5-30分钟不等。
randomString 作为签名的参数作用不大。
这个由于都是明文的,一般都能猜到这么签名。所以,会加一个盐,
sign=MD5(userId+timestamp+randomString+salt1)
salt1为客户端与服务端保留,是个常量。一般不在接口中传递。

有人说,将app放进模拟器或者反编译,就能获得salt1。

所以,光是一个常量是不够的,还要一个动态量。这个动态量就是token,一般在每次用户登录后,会获得一个刷新的token,UUID生成的。

http://test.com/api/test.html?userId=9&timestamp=14324344&randomString=532sgdfg&token=dfhfjgdfsgsdg&sgin=GGERH5363463

sign=MD5(userId+timestamp+randomString+salt1+token)
token的有效期一般为12小时或24小时。
这样,客户端的请求,服务端先验证token,再验证sign。

以上的处理,效果如下:

  1. 较长时间段前的请求链接无效;
  2. 不良用户把篡改的请求链接在浏览器中操作无效;
  3. 每隔一段时间,有一个登录的验证。

但以上也看出,token验证的难度并不大,毕竟token的有效时间有十几个小时。

因此,本人设计添加了一个动态量,叫token2。
这个token2的有效期更短,一般在几十秒,假定30秒-45秒。也可以更短。
它由token1和salt1生成,不在客户端保留,每次接口请求都要从服务器拿。获取token2中也会用到AES加密。
然后把token2也放到sign签名中(接口中不传):
sign=MD5(userId+timestamp+randomString+salt1+token+token2)

服务端原来验证token改为验证token2了,这样,如果不是极端情况,保证了2点:

  1. 客户端的请求都是由APP端发出的;
  2. 每次请求的有效期只有30-45秒。
    设置30-45秒是考虑到wap端的用户请求,点击,浏览的平均时间会稍微比app端慢一些。如果在一个网页,用户迟疑了一下再点击,发现链接失效,需要重新退回上个页面,不是太好,所以设定几十秒。

还有RSA也能签名。
当然,除了MD5,还有AES加密。AES也有加salt加密。由于是对称型,AES可以多次加密。可是只要salt知道,也能容易猜到,本人一般配合MD5使用。

(2)https
这个是要证书的,要钱的。本人还没做过。

(3)第三方授权。
大公司用的多,获取腾讯,新浪用户信息用这种方式。其中关键,是一个code和token,也是动态的,安全性,比以上介绍的要强一些。

公众号【禅与大数据】,欢迎订阅
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP接口安全设计.ppt
01-10
移动APP接口是怎么保证安全性的,可以采用https,或者是非对称加密接口加密的目的是防止被别人用抓包工具,抓包后篡改数据。 关于加密算法常见的有对称加密(DES)和非对称加密(RSA) 对称加密(DES)...
接口安全性考虑
weixin_38923162的博客
03-09 5338
接口安全
常见的鉴权方式简述
tangsiqi130的博客
05-23 4851
简述常见的鉴权方式
API 接口怎样设计安全
最新发布
A_991128a的博客
02-20 995
设计安全的API接口是确保应用程序和数据安全的重要方面之一。
app开发总结 1 - 接口设计
zhengjintao_168的博客
06-27 369
做了一段时间ios开发,也做了几个项目,现对其进行总结。。其中大部分是从其它博客转载而来,小部分为自己的理解。。希望大家一起学习、进步。。一、接口设计对于app接口主要有三个要点: 1,接口安全机制: 2,接口标准规范化: 3,接口版本控制:1.1 接口安全机制:接口安全机制:主要有以下两点 1,保证数据传输的安全 2,保证api的调用者,是经过授权的合法调用数据传输:可通过base64、
App安全架构之前安全防护
speedoooo的博客
11-14 1492
本文浅显的介绍了现金前8大安全问题,以及市面上主流的安全解决思路。
APP接口设计规范
热门推荐
qq_20628139的博客
08-22 1万+
APP接口设计规范 效率 安全 版本兼容性 面向对象设计 数据格式Json 服务的异常处理 1.效率APP对服务器要求是比较严格的,在移动有限的带宽条件下,要求接口响应速度要快,所有在开发过程中尽量选择效率高的框架,对数据要求也比较严格,app需要什么数据就传什么数据,不可多传,过多的数据量影响处理速度,最重要的是影响传输效率。接口要规范,以面向对象的思想设计接口。2.安全接口请求成功或失败,
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
App架构接口设计.pdf
08-26
App架构接口设计.pdf
基于ASP.NET的app接口实例
02-06
基于ASP.NET的app接口实例
thinkphp5高效安全APP接口开发教程
12-30
还可以,如果过期了,记得留言提醒别下载了!
保证对外接口安全性的措施
qq_37149892的博客
12-13 3529
前言最近有个项目需要对外提供一个接口,提供公网域名进行访问,而且接口和交易订单有关,所以安全性很重要;这里整理了一下常用的一些安全措施以及具体如何去实现。安全措施个人觉得安全措施大体来看主要在两个方面:一方面就是如何保证数据在传输过程中的安全性;另一个方面是数据已经到达服务器,服务器如何识别数据,如何不被攻击;下面具体看看都有哪些安全措施。1.数据加密我们知道数据在传输过程中是很容易被抓包的,如果直接传输比如通过http协议,那么用户传输的数据可以被任何人获取;所以必须对数据加密,常见的做法对关键字段加
关于APP接口设计的几点思考
lwgzj的博客
04-21 686
对于做服务开发的人来说,一般只关注接口的入参擦传入和数据的组装返回,以前在做web系统时,一般会根据页面展示数据的不同去实现不同的接口,有新的业务就做新的接口设计,有需要修改的旧业务,就在以前的接口里去更新业务逻辑。 但是这套做法不适用于针对APP接口,原因就在于APP的业务需要靠升级去呈现出不同的功能以及不同的数据, 举个例子:获取用户信息接口getUserInfo在V1.0.0里和在...
关于APP接口设计
weixin_34014277的博客
05-26 396
最近一段时间一直在做APP接口,总结一下APP接口开发过程中的注意事项:   1、效率:接口访问速度 APP有别于WEB服务,对服务器要求是比较严格的,在移动有限的带宽条件下,要求接口响应速度要快,所有在开发过程中尽量选择效率高的框架,PHP建议使用YAF框架。   2、数据格式 最好使用JSON格式数据,因为JSON有较好的跨平台性。   3、数据量 按需分配,APP客户...
App接口设计浅谈
jack_Day666的博客
02-03 885
一:APP接口存在几个问题值得思考 1、跨平台性 所谓跨平台是指我们的接口要能够支持不同的终,比如android、ios、windowsphone以及桌面软件、网站等,一套接口,支持多,就像当年Java的口号一样“Write Once,Run Anywhere”。当然从本质上讲,服务器接口跟终是没有太大关系的,但接口应该考虑到不同的接入成本,应根据项目或公司自身情况应该做相应的版本处理。采用通用的解决方案,比如通信协议就采用最常用的HTTP协议,如果是即时通信,可以采用开放的XMPP协议,做
app接口,前后分离的接口设计及解读
mengtianqq的博客
07-08 2388
一、接口设计 app接口,前后分离的接口设计如下: { "message": null, "result": { }, "status": 200, "timestamp": 1562572488098 } 二、接口设计解读 app接口,前后分离的接口设计设计思想有四点,1.请求返回状态码status; 2.请求返回消息message;3.请...
APP开发实战8-API接口设计
xjbclz的专栏
05-10 4526
3.1接口设计 (1)需要确定APP和服务器间用什么格式传输数据,常用的有两种:XML和Json。XML文件中存在大量的描述信息,会大大增加网络传输数据;同样的内容,用Json格式,传输的数据比较少,首选Json格式。 还有一种Protocol Buffers 格式,以二进制的方式传输存储数据,网络传输数据量比Json还少,但要使用proto文件作为格式验证,各语言需要整一堆pb runt
app接口设计
aochijing0046的博客
09-11 54
ajax跨域问题以及解决方案 常用的接口对接 1. 中间库 2.URL方式 3.webService方式 php提供了soapServer php 创建和调用webservice接口示例代码 使用PHP搭建WebService服务器 api接口注意事项 接口统计功能 在做PC网站的时候,我们都会给我们的网站加上个统计功能,要么自己写统计系统,要么使用第三方的比如G...
API接口设计规范,看这篇就足以了
WBKJ_Noah的博客
08-01 3650
应用程序编程接口Application Programming Interface,API接口),是应用程序重要的组成部分,就是应用程序对外提供了一个操作数据的入口,这个入口可以是一个函数或类方法,也可以是一个url地址或者一个网络地址。当客户调用这个入口,应用程序则会执行对应代码操作,给客户完成相对应的功能。关于限流设计、熔断设计、降级设计,目前主流网关都有相关功能(比如shenyu网关),可以不在API实现中开发这些功能。
驾考APP安全性需求分析
05-31
驾考APP安全性需求分析可以从以下几个方面考虑: 1. 用户隐私保护:驾考APP需要保护用户的个人信息,包括姓名、身份证号、驾照信息等。在用户注册和登录过程中,应该采用安全的身份验证方式,如短信验证码、指纹识别等。同时,驾考APP需要保证用户信息的机密性和完整性,防止信息泄露和篡改。 2. 数据安全保护:驾考APP需要保护考试题目库、用户考试成绩等数据的安全性。这些数据应该采用加密存储和传输,防止被攻击者窃取或篡改。同时,驾考APP需要保证数据的可靠性和一致性,防止数据丢失或不一致导致的错误。 3. 应用程序安全:驾考APP需要保证应用程序本身的安全性,防止黑客攻击、恶意代码注入等攻击。开发者应遵循安全编码规范,对应用程序进行安全测试和漏洞扫描,及时修补漏洞和升级版本。 4. 网络安全保护:驾考APP需要保证网络通信的安全性,防止网络攻击、拦截和窃听。应该采用安全的通信协议和加密算法,如SSL/TLS协议、RSA算法等,保证通信的机密性和完整性。 5. 服务可用性保证:驾考APP需要保证服务的可用性和稳定性,防止DDoS攻击、服务器故障等导致的服务不可用。开发者应采用负载均衡、容灾备份等技术手段,保证服务的可靠性和稳定性。 综上所述,驾考APP安全性需求是一个系统性的工程,需要从多个方面进行考虑和实现。开发者需要具备安全编码和安全测试的能力,保证应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值