实现前后端分离--java接口的安全性问题

最新推荐文章于 2024-02-05 11:43:21 发布
最新推荐文章于 2024-02-05 11:43:21 发布
阅读量4.6k 收藏 6
点赞数

在前后端分离的开发中,后台提供的接口如何能保证访问权限安全?主要是身份验证、数据加密、访问控制(访问频率、访问访问次序,每个IP次数)

一、.签名     根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis) 在使用Base64方式的编码后,Token字符串还是有20多位,有的时候还是嫌它长了。由于GUID本身就有128bit,在要求有良好的可读性的前提下,很难进一步改进了。那我们如何产生更短的字符串呢?还有一种方式就是较少Token的长度,不用GUID,而采用一定长度的随机数,例如64bit,再用Base64编码表示:     var rnd = new Random();     var tokenData = userIp+userId;     rnd.NextBytes(tokenData);     var token = Convert.ToBase64String(tokenData).TrimEnd('='); 由于这里只用了64bit,此时得到的字符串为Onh0h95n7nw的形式,长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的(如网盘的提取码)。

二、.加密    客户端和服务器都保存一个秘钥,每次传输都加密,服务端根据秘钥解密。    

客户端:     1、设置一个key(和服务器端相同)     2、根据上述key对请求进行某种加密(加密必须是可逆的,以便服务器端解密)     3、发送请求给服务器

服务器端:     1、设置一个key     2、根据上述的key对请求进行解密(校验成功就是「信任」的客户端发来的数据,否则拒绝响应)     3、处理业务逻辑并产生结果     4、将结果反馈给客户端

三、.第三方支持   比如spring security-oauth  

codenow.fun
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springboot+vue实现校园宿舍管理系统前后端分离源码+数据库文件分享
04-10
Java语言擅长开发互联网类应用和单位、企业级应用,现在已经相当的成熟,而且也是目前使用最多的编程语言之一。Java语言具有很好的面向对象性,可以符合人的思维模式进行设计,封装是将对象的属性和方法尽可能地隐藏起来,使得外界并不知道是如何实现的,外界能通过接口进行访问,继承是指每个类都会有一个父类,所有的子类都有父类的方法,可以进行继承,但是只有final修饰的类不能被继承,通过继承可以使得代码得到重新利用,能够提高软件的开发效率,也是多态的前提。 Java就像C语言、C#语言等,也是一种程序开发语言,而它的特点就是面向对象。作为一种程序开发与设计的语言,它有很多特性,主要特性就是面向对象、夸平台以及可以分布式运行。Java语言项目不但安全性高、稳定性强,而且可以并发运行。 为了提高开发的速度及效率,必须做到代码的重复使用和简化程序的复杂度,要达到上述的要求java语言通过封装、继承与多态等方式实现,这样可以很大程度上达到信息的封装,提高代码复用率,减少冗余度,提高效率。它使得以往程序中大量存在的内存泄漏的问题得到了较好的缓解。所谓的内存泄漏就是程序向操作系统申请了一块存储空间
weixin135房屋租赁管理系统的设计与实现+ssm--论文pf.rar
04-05
“weixin135房屋租赁管理系统”的设计与实现基于SSM(Spring, Spring MVC, MyBatis)框架,这是一个典型的Java EE应用架构。SSM集成了Spring的依赖注入和面向切面编程、Spring MVC的MVC框架以及MyBatis的持久层框架,使得开发更加高效、结构更加清晰。 技术介绍: Spring:一个开源的轻量级Java SE/Java EE全功能栈框架,提供了IoC容器和AOP功能,可以管理对象的生命周期和声明式事务。 Spring MVC:作为Spring的一个模块,提供了构建Web应用程序的MVC(模型-视图-控制器)设计模式的完整实现。 MyBatis:一个优秀的持久层框架,它支持自定义SQL、存储过程以及高级映射,并且避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。 数据库:通常使用MySQL或其他关系型数据库来存储数据,如用户信息、房产信息、租赁合同等。 前端技术:可能包括HTML, CSS, JavaScript, JQuery, Bootstrap等,用于构建用户友好的界面。 Maven:项目构建工具,用于管理项目依赖和构建过程。 功能介绍: 用户管理:包括用户注册、登录验证、权限分配等功能,确保系统的安全性和不同用户的操作权限。 房产信息管理:允许管理员添加、修改、删除和查看房产详细信息,用户可以浏览房产信息。 租赁合同管理:处理租赁合同的创建、签署、更新和终止,记录合同状态和历史。 搜索与筛选:提供多条件搜索和筛选功能,帮助用户快速找到合适的房源。 数据统计:对房产租赁情况进行统计分析,生成报表供管理者决策使用。 评论与反馈:用户可以对租赁体验进行评价,管理员可以收集用户反馈以优化服务。 支付系统集成:整合第三方支付接口,处理租金和其他费用的在线支付。 消息通知:通过邮件或短信向用户发送重要通知,比如合同到期提醒、支付确认等。 总之,综上所述,"weixin135房屋租赁管理系统"利用SSM框架的强大功能实现了一套完整的房屋租赁业务流程,包括用户和房产信息的管理、合同的处理、搜索与统计等,旨在提供一个高效、安全、易用的租赁平台。
RuoYi+SpringBoot+前后端分离版添加接口加密(参考)
New_hl的博客
02-05 975
这次更新参考了其他博主内容,在基础上做了备注及调整。
基于springboot+vue实现校园宿舍管理系统前后端分离源码+数据库文件
04-10
Java语言擅长开发互联网类应用和单位、企业级应用,现在已经相当的成熟,而且也是目前使用最多的编程语言之一。Java语言具有很好的面向对象性,可以符合人的思维模式进行设计,封装是将对象的属性和方法尽可能地隐藏起来,使得外界并不知道是如何实现的,外界能通过接口进行访问,继承是指每个类都会有一个父类,所有的子类都有父类的方法,可以进行继承,但是只有final修饰的类不能被继承,通过继承可以使得代码得到重新利用,能够提高软件的开发效率,也是多态的前提。 Java就像C语言、C#语言等,也是一种程序开发语言,而它的特点就是面向对象。作为一种程序开发与设计的语言,它有很多特性,主要特性就是面向对象、夸平台以及可以分布式运行。Java语言项目不但安全性高、稳定性强,而且可以并发运行。 为了提高开发的速度及效率,必须做到代码的重复使用和简化程序的复杂度,要达到上述的要求java语言通过封装、继承与多态等方式实现,这样可以很大程度上达到信息的封装,提高代码复用率,减少冗余度,提高效率。它使得以往程序中大量存在的内存泄漏的问题得到了较好的缓解。所谓的内存泄漏就是程序向操作系统申请了一块存储空间
java web接口安全性_WEB安全性测试
weixin_39590566的博客
02-16 541
原标题:WEB安全性测试来源:http://www.51testing.comSQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设...
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1036
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户名密码安全传输的问题. 用户名和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
Http接口安全整理
java is 因缺思厅
02-08 1万+
1.Http接口安全概述:        1.1、Http接口是互联网各系统之间对接的重要方式之一,使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;        1.2、目前国内互联网公司主要采用两种做法实现接口的安全:           ...
HTTP协议简介,数据安全 如何保证http传输安全性httphttps区别
meixi_android的博客
11-14 5215
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就通过抓包工具监听到内容,甚至可以篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免。 重要的数据,要加密,比如用户名密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么(如果简单的md5,是可以暴力破解),所以加密方法越复杂越安全,根据需要,常见的是 md5(不可逆),aes(可逆),自由组合...
接口安全性以及解决方案
只为成功找方法 不为失败找借口
05-22 639
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
如何保障HTTP请求的安全性
swadian2008的博客
02-10 1981
请求体的内容:请求体中的内容由具体的请求数据构成,可以是表单数据、JSON数据、XML数据、二进制数据等。对请求体进行安全检测:可以采用一定的安全检测技术,如WAF(Web应用程序防火墙)等,对请求体进行实时监控和检测,及时发现和防范安全威胁。对请求体进行访问控制:可以采用一定的访问控制策略,对请求体进行权限控制和鉴别,只允许授权用户访问请求体数据,从而保障数据的安全性。:在使用HTTP协议时,可以对请求体进行加密,采用对称加密或非对称加密等加密方式,确保请求体数据的机密性和完整性。
4个常用的HTTP安全头部
真理部
02-26 1070
它曾是世界性图书馆梦的开始,现在它是全球知识的聚集地,它是目前最流行的,人们将应用都部署之上的万维网。 它是敏捷的代表,它不是单一的实体,它由客户端和服务端组成,它的功能在不断地强大,它还有标准。 虽然越来越多的解决方案非常适用于发现什么可行,什么不可行,但它几乎没有一致性,没有易于应用的编程模型。俗话说的好:事情越简单,越安全。简单的事物很难有像XSS,CSRF或点击挟持的漏洞。
基于Spring开发的项目,实现前后端分离,前端VUE.zip
04-18
总的来说,后端开发是网站或应用程序开发中不可或缺的一部分,它确保了数据的存储、处理和交互的安全性、稳定性和效率。随着技术的不断发展,后端开发也在不断进步,为前端提供更好的支持和服务。
前后端分离开发.zip
04-18
总的来说,后端开发是网站或应用程序开发中不可或缺的一部分,它确保了数据的存储、处理和交互的安全性、稳定性和效率。随着技术的不断发展,后端开发也在不断进步,为前端提供更好的支持和服务。
常用的接口安全性保障手段
weixin_43805705的博客
12-29 699
http接口有哪些安全问题:数据被抓包窃取、数据被恶意篡改、数据被爬取泄漏 一起来看看常用的接口安全性保障手段吧
基于http协议的api接口对于客户端的身份认证方式以及安全措施
weixin_30271335的博客
04-26 351
由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsessionid)来辨别客户端的身份的,当客户端进行登录服务器也会将登录信息存放在服务器并与客户端的cookie中的jsessionid关联起来,这样客户端再次访问我们就可以识别用户身份了。 但是对于api服务器,我们不能让访问者先登录再进行访问这样不安全,也不友好...
前后端分离后API交互如何保证数据安全性
nicky213的博客
02-28 2459
一、前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是...
SpringCloud Gateway API接口安全设计(加密 、签名)
热门推荐
简单记录一下。
05-26 6万+
1、防止数据抓包窃取 1.1、风险简述 简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 1.2、RSA非对称加密 1.2.1、RSA简介 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就.
前后端分离 , 如何保证接口安全性
沈光阳的博客
01-23 1万+
1. 完整的代码 前端vue代码 后端java代码 2. Api有哪些安全问题http接口前后端分离mvvm 3. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 4. 时间戳超时机制 时间戳,是客户端调用接口时对应的当前时间戳,时间戳用于防止DoS攻击。当黑客劫持了请求的url去DoS攻击,每次调用接口接口都会判
多图表实现员工满意度调查数据分析python
最新发布
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
java前后端分离oa系统
10-22
Java前后端分离OA系统是一种新型的软件开发模式,具有许多优势。在这种模式下,前端与后端分离,通过API进行数据交互和通信。 首先,Java作为后端语言,具有强大的处理能力和丰富的开发工具。它可以处理复杂的业务逻辑和数据库操作,并提供高性能的服务。后端可以使用Spring Boot等框架来快速开发和部署,提高开发效率和系统响应速度。 其次,前端可以使用各种主流的Web技术,如Vue.js、React等,进行界面开发和用户交互。前端通过调用后端提供的API,获取后端的数据并展示给用户。这种分离使得前端和后端可以独立进行开发和部署,互不影响。同时,前端可以根据需求自由选择适合的技术栈,并且可以实现页面的快速渲染和响应。 此外,前后端分离还可以提高系统的可扩展性和维护性。由于前后端独立,可以单独进行功能扩展或修复bug,而不会对整个系统造成影响。同时,前后端的分离还可以提高团队的协作效率,前端和后端可以同时进行开发,并可以很容易地进行接口对接和集成测试。 最后,前后端分离还可以提高系统的安全性。通过API进行数据交互,可以减少对外暴露的接口和数据,减少系统被攻击的风险。同时,前后端分离的架构也方便对前端和后端的权限控制和身份验证。 综上所述,Java前后端分离OA系统具有许多优势,可以提高开发效率、系统性能和可维护性,同时提升系统的安全性。这种模式在现代软件开发中越来越受欢迎,将在未来得到更广泛的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值