如何保证HTTP接口请求的安全呢?

最新推荐文章于 2024-04-24 15:57:15 发布
最新推荐文章于 2024-04-24 15:57:15 发布
阅读量1.6w 收藏 15
点赞数 1
文章标签: http协议 数据 安全 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjnpysh/article/details/63426829
版权

在二家公司负责后台开发与APP接口开发。

那我们要如何对接口请求进行一个安全校验或者拦截非法请求呐?

1、选择拦截过滤器。

在请求的时候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证

请求不是非法请求。

2、数据加密。我们知道目前大部分APP接口都是通过Http协议进行调用的容易被抓包拦截。

我们可以对客户端和服务端都对数据传输的时候进行一个加密处理。常用的MD5 AES等。

譬如:上一个项目做法比较简单 对用户与帐号密码进行加密作为一个authcode。每次请求必须携带。这个方法与下边说的方法3组合运用

客户端:

    1、设置一个key(和服务器端相同)

    2、根据上述key对请求进行某种加密(加密必须是可逆的,以便服务器端解密)

    3、发送请求给服务器

服务器端:

    1、设置一个key

    2、根据上述的key对请求进行解密(校验成功就是「信任」的客户端发来的数据,否则拒绝响应)

    3、处理业务逻辑并产生结果

    4、将结果反馈给客户端


3、签名

 根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者Redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis)

在使用Base64方式的编码后,Token字符串还是有20多位,有的时候还是嫌它长了。由于GUID本身就有128bit,在要求有良好的可读性的前提下,很难进一步改进了。那我们如何产生更短的字符串呢?还有一种方式就是较少Token的长度,不用GUID,而采用一定长度的随机数,例如64bit,再用Base64编码表示:

    var rnd = new Random();
    var tokenData = userIp+userId;
    rnd.NextBytes(tokenData);
    var token = Convert.ToBase64String(tokenData).TrimEnd('=');

由于这里只用了64bit,此时得到的字符串为Onh0h95n7nw的形式,长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的(如网盘的提取码)。

4、使用第三方框架与技术整合支持比如spring的框架中的oauth模块。



MIYAOW
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络原理之HTTP(1)
weixin_56804961的博客
06-28 386
网络原理之http(1) http协议 浏览器/客户端---->服务器(发出http请求) 服务器------->浏览器/客户端(http响应,包括页面的HTML) 1.客户端|服务器 网络通信,两台主机,一方是主动发起(客户端),一方是被动接受的(服务器) 2.请求和响应(一对一的对应关系) 客户端与服务器的交互方式最主要的是“一问一答” “一问多答” “多问一答” “多问多答” 3.协议 (1)客户端和服务器是两个主机上面的两个不同的程序,要保证客户端给服务器发的消息,服务器理解含义;服务给
保护HTTP安全
zqjflash的专栏
11-01 1824
security-http1、保护HTTP安全 需要提供下列功能的HTTP安全技术:1、服务器认证(客户端感知是与可信任的服务端通信)2、客户端认证(服务端感知是与可新人的客户端通信)3、完整性(客户端和服务器的数据不可被篡改)4、加密(客户端和服务端通信不被窃取)5、效率(运行效率快的算法,支持低端客户端和服务端使用)6、普适性(支持所有客户端和服务器通信协议)7、适应性(能够支持目前最知名的安
HTTPS如何保证传输安全
qq_69633091的博客
06-01 232
Http协议是一种基于文本的传输协议,它位于OSI网络模型中的应用层。物理层: 将数据转换为可通过物理介质传送的电子信号 相当于邮局中的搬运工人。数据链路层: 决定访问网络介质的方式。在此层将数据分帧,并处理流控制。本层指定并提供硬件寻址,相当于邮局中的装拆箱工人。网络层: 使用权数据路由经过大型网络 相当于邮局中的排序工人。传输层: 提供终端到终端的可靠连接 相当于公司中跑邮局的送信职员。会话层: 允许用户使用简单易记的名称建立连接 相当于公司中收寄信、写信封与拆信封的秘书。
接口测试面试题50题完整版
11-04
接口测试面试题 以下是一些常见的接口测试面试题: 1. 什么是接口测试? 2. 接口测试的目的是什么? 3. 接口测试主要关注哪些方面? 4. 接口测试的常用工具是什么? 5. 如何进行接口测试? 6. 接口测试的流程是什么? 7. 接口测试中需要注意哪些问题? 8. 如何保证接口测试的准确性? 9. 接口测试中如何处理异常情况? 10. 如何编写有效的接口测试用例? 11. 接口测试中如何进行断言? 12. 什么是Mock测试?在接口测试中如何使用Mock测试? 13. 接口测试中如何进行关联测试? 14. 如何在接口测试中设置环境变量? 15. 如何在接口测试中使用参数化? 16. 如何在接口测试中使用HTTP请求默认值? 17. 如何在接口测试中使用断言来验证返回值? 18. 如何在接口测试中使用关联来测试业务流程? 19. 如何在接口测试中使用不同的参数化方式? 20. 如何在接口测试中使用不同的版本进行测试? 21. 如何在接口测试中确保安全性?
如何保证对外接口安全
m0_49692893的博客
03-04 535
【代码】调用第三方接口前进行生成Token及校验Token。
HTTP如何保证安全传输
weixin_47906106的博客
12-09 2335
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就可以通过抓包工具监听到内容,甚至篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免: 重要数据加密 比如用户名和密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么。简单的md5是可以暴力破解的,所以加密方式越复杂就越安全,可以根据需要自由组合 常见的是 md5(不可逆),aes(可逆) 非重要数据要签名 签名的目的是防止篡改,比如http://www.xxx.com/getnews?id=1,获
应用安全系列之二十:HTTP协议安全
jimmyleeee的专栏
03-18 964
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 HTTP协议也提供了一些头用于提高安全,本章节主要是介绍一些常用的协议头和他们的作用,以及如何正确使用。 CORS HTTPonly Secure SameSite HSTS XSS-Protect X-Frame-Option Content-Security-Policy (CSP) 如果有不妥之处,希望可以留言指出。谢谢! 参考: https://cheatsheet...
安全HTTP方法
hcufo的博客
09-04 952
web渗透的小知识点
如何保证http传输安全
junli_chen的博客
10-14 1807
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就通过抓包工具监听到内容,甚至可以篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免。 重要的数据,要加密,比如用户名密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么(如果简单的md5,是可以暴力破解),所以加密方法越复杂越安全,根据需要,常见的是 md5(不可逆),aes(可逆),自由组合
常见的保证接口数据安全8种方案
m0_37062111的博客
01-09 4413
那么有哪些常见的保证接口数据安全的方案呢? 1. 数据加密,防止报文明文传输。 2. 数据加签验签 3. token授权认证机制 4. 时间戳timestamp超时机制 5. timestamp+nonce方案防止重放攻击 6. 限流机制 7. 黑名单机制 8. 白名单机制
优雅处理HTTP请求:过滤器、拦截器、ControllerAdvice和自定义AOP
qq13321123的博客
05-26 1988
在Spring Boot项目中,可以使用自定义AOP的方式来统一处理HTTP请求,并获取和解析请求头中的内容。通过自定义AOP切面,可以在请求处理前和处理后添加相应的切面逻辑。以下例子展示如何在Spring Boot项目中实现自定义AOP切面来获取和解析请求头中的内容:创建一个注解,用于标注需要进行切面处理的方法。在该注解中添加一个String类型的属性,用于指定需要获取的请求头信息。Java复制代码创建一个切面类,实现Aspect接口,并在该类中定义一个切点方法和一个通知方法。
Spring Boot实现接口签名验证
04-23
在Spring Boot中实现接口校验签名通常是为了保证接口请求安全性和数据的完整性。签名校验通常涉及对请求参数的签名计算和验证,以确保请求是由可信的发送方发送,并且在传输过程中没有被篡改。
开发工具+接口测试工具Postman+一款功能超级强大用于HTTP请求的测试工具
03-13
确保开发人员能够及时处理接口中的bug,进而保证产品上线之后的稳定性和安全性。 它主要用来模拟各种HTTP请求(如get/post/delete/put...等),Postman与浏览器的区别在于有的浏览器不能输出Json格式数据,而Postman...
Postman接口调试工具
01-08
它可以利用Chrome插件的形式把各种模拟用户HTTP请求数据发送到服务器,以便开发人员能够及时地作出正确的响应,或者是对产品发布之前的错误信息提前处理,进而保证产品上线之后的稳定性和安全性。
Node.js 开发API接口项目
02-10
下面来登录注册模块主要内容是将用户的注册信息保存到数据库,且要保证数据库内的数据安全性,在登录时可以在后台获取到token进行保存以便下次请求严重;个人中心模块内容主要是能够获取、更行用户信息以及可以重置...
人工智能安全与光明时代
qq18218628646的博客
04-19 792
模式许可和监督可能会适得其反,因为以不可持续的方式集中权力
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 923
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
安全开发实战(4)--whois与子域名爆破
weixin_72543266的博客
04-18 841
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
网络通信安全
最新发布
m0_68637281的博客
04-24 223
TCP/IP体系结构、以太网、Internet地址、端口TCP/IP协议简介如下:(from文心一言)TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。
faas连接器接口请求
10-11
函数即服务(Function as a Service,简称FaaS)连接器接口请求是指在使用FaaS连接器时,向其接口发送请求实现特定功能或获取特定数据的操作。 FaaS连接器接口请求通常包括请求URL、请求方法、请求头信息、请求参数和请求体等内容。首先,请求URL是指目标FaaS连接器接口的地址,通过该地址可以唯一定位到目标接口。其次,请求方法指定了所需执行的操作类型,例如GET表示获取数据,POST表示提交数据,PUT表示更新数据等。再者,请求头信息包含了一些重要的元数据,例如指定接收数据的格式、授权信息等。请求参数是指在请求过程中附带的一些额外信息,例如筛选条件、排序方式等。最后,请求体是在POST等请求方法中传输的实际数据内容。 对于FaaS连接器接口请求,通常需要遵循一定的规范和约定,以确保请求的准确性和安全性。比如,需要保证请求的合法性、防止恶意请求和确保数据传输的加密安全等。 在发起FaaS连接器接口请求之前,我们需要明确我们的目的,了解所需的数据或功能,并确定所需的请求参数和方法。然后,我们可以构造请求URL,并根据需要设置请求头信息、请求参数和请求体。最后,使用HTTP客户端工具发送请求,等待响应并处理返回的数据。 总之,FaaS连接器接口请求可以帮助我们通过发送特定的请求实现所需的功能,获取所需的数据,并在实际应用中实现各种灵活的业务场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值