一篇关于API数据接口的自述

最新推荐文章于 2024-06-17 13:56:54 发布
最新推荐文章于 2024-06-17 13:56:54 发布
阅读量607 收藏 9
点赞数 14
文章标签: java 服务器 网络 大数据 爬虫 数据分析 API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OB15797612830/article/details/138970864
版权

在实际工作中,我们需要经常跟第三方平台打交道,可能会对接第三方平台API接口,或者提供API接口给第三方平台调用。

那么问题来了,如果设计一个优雅的API接口,能够满足:安全性、可重复调用、稳定性、好定位问题等多方面需求?

今天跟大家一起聊聊设计API接口时,需要注意的一些地方,希望对你会有所帮助。

1. 签名
为了防止API接口中的数据被篡改,很多时候我们需要对API接口做签名。

接口请求方将请求参数 + 时间戳 + 密钥拼接成一个字符串,然后通过md5等hash算法,生成一个前面sign。

然后在请求参数或者请求头中,增加sign参数,传递给API接口。

API接口的网关服务,获取到该sign值,然后用相同的请求参数 + 时间戳 + 密钥拼接成一个字符串,用相同的m5算法生成另外一个sign,对比两个sign值是否相等。

如果两个sign相等,则认为是有效请求,API接口的网关服务会将给请求转发给相应的业务系统。

如果两个sign不相等,则API接口的网关服务会直接返回签名错误。

问题来了:签名中为什么要加时间戳?

答:为了安全性考虑,防止同一次请求被反复利用,增加了密钥没破解的可能性,我们必须要对每次请求都设置一个合理的过期时间,比如:15分钟。

这样一次请求,在15分钟之内是有效的,超过15分钟,API接口的网关服务会返回超过有效期的异常提示。

目前生成签名中的密钥有两种形式:

一种是双方约定一个固定值privateKey。

另一种是API接口提供方给出AK/SK两个值,双方约定用SK作为签名中的密钥。AK接口调用方作为header中的accessKey传递给API接口提供方,这样API接口提供方可以根据AK获取到SK,而生成新的sgin。

2. 加密
有些时候,我们的API接口直接传递的非常重要的数据,比如:用户的银行卡号、转账金额、用户身份证等,如果将这些参数,直接明文,暴露到公网上是非常危险的事情。

由此,我们需要对数据进行加密。

目前使用比较多的是用BASE64加解密。

我们可以将所有的数据,安装一定的规律拼接成一个大的字符串,然后在加一个密钥,拼接到一起。

然后使用JDK1.8之后的Base64工具类处理,效果如下:

【加密前的数据】www.baidu.com
【加密后的数据】d3d3LmJhaWR1LmNvbQ==
为了安全性,使用Base64可以加密多次。

API接口的调用方在传递参数时,body中只有一个参数data,它就是base64之后的加密数据。

API接口的网关服务,在接收到data数据后,根据双方事先预定的密钥、加密算法、加密次数等,进行解密,并且反序列化出参数数据。

3. ip白名单
为了进一步加强API接口的安全性,防止接口的签名或者加密被破解了,攻击者可以在自己的服务器上请求该接口。

需求限制请求ip,增加ip白名单。

只有在白名单中的ip地址,才能成功请求API接口,否则直接返回无访问权限。

ip白名单也可以加在API网关服务上。

但也要防止公司的内部应用服务器被攻破,这种情况也可以从内部服务器上发起API接口的请求。

这时候就需要增加web防火墙了,比如:ModSecurity等。

4. 限流
如果你的API接口被第三方平台调用了,这就意味着着,调用频率是没法控制的。

第三方平台调用你的API接口时,如果并发量一下子太高,可能会导致你的API服务不可用,接口直接挂掉。

由此,必须要对API接口做限流。

限流方法有三种:

对请求ip做限流:比如同一个ip,在一分钟内,对API接口总的请求次数,不能超过10000次。
对请求接口做限流:比如同一个ip,在一分钟内,对指定的API接口,请求次数不能超过2000次。
对请求用户做限流:比如同一个AK/SK用户,在一分钟内,对API接口总的请求次数,不能超过10000次。
我们在实际工作中,可以通过nginx,redis或者gateway实现限流的功能。

5. 参数校验
我们需要对API接口做参数校验,比如:校验必填字段是否为空,校验字段类型,校验字段长度,校验枚举值等等。

这样做可以拦截一些无效的请求。

比如在新增数据时,字段长度超过了数据字段的最大长度,数据库会直接报错。

但这种异常的请求,我们完全可以在API接口的前期进行识别,没有必要走到数据库保存数据那一步,浪费系统资源。

有些金额字段,本来是正数,但如果用户传入了负数,万一接口没做校验,可能会导致一些没必要的损失。

还有些状态字段,如果不做校验,用户如果传入了系统中不存在的枚举值,就会导致保存的数据异常。

由此可见,做参数校验是非常有必要的。

在Java中校验数据使用最多的是hiberate的Validator框架,它里面包含了@Null、@NotEmpty、@Size、@Max、@Min等注解。

用它们校验数据非常方便。

7. 统一封装异常
我们的API接口需要对异常进行统一处理。

不知道你有没有遇到过这种场景:有时候在API接口中,需要访问数据库,但表不存在,或者sql语句异常,就会直接把sql信息在API接口中直接返回。

返回值中包含了异常堆栈信息、数据库信息、错误代码和行数等信息。

8. 请求日志
在第三方平台请求你的API接口时,接口的请求日志非常重要,通过它可以快速的分析和定位问题。

我们需要把API接口的请求url、请求参数、请求头、请求方式、响应数据和响应时间等,记录到日志文件中。

最好有traceId,可以通过它串联整个请求的日志,过滤多余的日志。

当然有些时候,请求日志不光是你们公司开发人员需要查看,第三方平台的用户也需要能查看接口的请求日志。

OB15797612830
关注
  • 14
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇:DeepStream 入门
wangrui0306的博客
01-15 1484
本专栏介绍从0开始学习DeepStream的主要内容
如何保护ASP.NET Web API [关闭]
CHCH998的博客
05-21 712
I want to build a RESTful web service using ASP.NET Web API that third-party developers will use to
一篇简单的散文了解消息中间件
qq_35812715的博客
05-21 349
为什么要使用消息中间件? 在这一个新时代,随着用户越来越大,产品越来越规划,对数据冥等性,数据完整性要求越来越高,传统得TCP,业务交换等交换方式,满足不了我们得业务场景。 嘿嘿 ~~~~ 首先什么叫做消息中间件? 按照逻辑理解---> 存储 处理消息得一个中间件(工具) 按照业务理解---> 特殊消息业务处理得一个系统 消息中间件能为我们解决什么问题? ...
Gorilla LLM:连接海量 API 的大型语言模型
FrenzyTechAI的博客
08-29 833
在当今这个数字化时代,大型语言模型(LLM)的发展突飞猛进,国内外涌现的大型语言模型(LLM)可谓是百花齐放,不管是开源还是闭源都出现了一些非常优秀的模型,然而在利用LLM进行应用开发的时候,会发现每个模型从部署、到训练、微调、API接口开发、Prompt提示词格式等方面都存在或多或少的差异,导致如果一个产品需要接入不同的LLM或者快速切换模型的时候变得更加复杂,使用没有那么方便,也不便于维护。
一个清华应届博士生的自述.pdf
09-16
一个清华应届博士生的自述.pdf
ReadMe.API:自述应用程序的节点API
03-08
自述应用程序的节点API。 请参阅我们的以获取正在进行的任务的最新列表。 要运行该服务器,请运行命令“ npm install”,然后运行“ npm start”。 默认情况下,服务器在端口3001上运行。 如果您想为这个项目做...
Core:SeetiTel 引擎和 API 接口
06-08
建造你需要在你的系统上设置 node 和 npm(这超出了本自述文件的范围),并安装了npm install -g gulp ( npm install -g gulp如果你还没有它)。 克隆这个 repo: git clone https://github.com/SeetiTel/Core.git ...
PythonicGRIB:ECMWF的GRIB API的Pythonic接口
04-30
它提供对GRIB API固有的过程Python调用的高级访问,并且需要在系统上安装GRIB API。 像这样在上下文管理器中使用GRIB文件: >>> with GribFile(filename) as grib: ... # Print number of messages in ...
Spring 事务传播行为之Propagation.NESTED REQUIRES_NEW等探讨
最新发布
chengmin123456789的博客
06-17 78
一个事务方法(标记为@Transactional(propagation = Propagation.NESTED))被另一个活动事务调用时,它会创建一个“保存点”(Savepoint)作为新的事务开始点。这意味着,如果这个嵌套事务方法内部发生异常并导致回滚,事务会回滚到这个保存点,而不会影响到外部事务的其他操作。如果一切正常,嵌套事务会在外部事务结束时一起提交。
【仿真建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 312
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
盲盒App开发时有哪些技术框架可以借鉴
bytekj的博客
06-14 533
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
【2024最新华为OD-C/D卷试题汇总】[支持在线评测] CPU算力分配(100分) - 三语言AC题解(Python/Java/Cpp)
清隆学长的博客
06-11 399
### 问题描述 K小姐是某公司运营部门的主管,最近她需要对公司的两组服务器进行算力分配。每组服务器有多个算力不同的 $CPU$,其中 $A$ 组第 $i$ 个 $CPU$ 的运算能力为 $A[i]$,而 $B$ 组第 $i$ 个 $CPU$ 的运算能力为 $B[i]$。一组服务器的总算力是各 $CPU$ 的算力之和。 为了让两组服务器的算力相等,K小姐允许从每组各选出一个 $CPU$ 进行一次交换。她希望从 $A$ 组服务器中选出算力尽可能小的 $CPU$ 来交换,你能帮她计算出应该选择哪两个 $CP
微型操作系统内核源码详解系列四(3):操作系统调度算法(FreeRTOS内核篇上)
2301_77061352的博客
06-12 826
-uxTopPriority,被设定为是代表最大优先级的数字,自减操作代表从就绪列表最后一个链表(优先级最高的链表)开始查找,直到找到任务链表不为空的优先级任务,那么这个任务肯定也是所有任务中优先级最大的任务,然后获取这个任务的TCB并更新pxCurrentTCB(切换的具体函数),最后更新uxTopReadyPriority的值。容笔者说一下个人看法,从c语言和数据结构算法的层面学习,只能说是舍本逐末,透过Freertos这个小型系统,窥见庞大的操作系统架构的一角,这才是我们学习的重点。
Invalid keystore format,获取安全码SHA1值出错
yfy1907的博客
06-11 196
Invalid keystore format 错误
从零手写实现 nginx-20-placeholder 占位符 $
06-12 1140
大家好,我是老马。很高兴遇到你。我们为 java 开发者实现了 java 版本的 nginx如果你想知道 servlet 如何处理的,可以参考我的另一个项目:手写从零实现简易版 tomcatminicat除了内置变量,Nginx 还允许用户自定义变量。自定义变量可以在set指令中定义。在这个例子中,定义了一个自定义变量,其值为,并在响应中返回这个值。Nginx 支持占位符的主要目的是提供更高的灵活性和动态性,使其能够适应各种复杂的应用场景和需求。
【Hydro】SCS-CN方法中径流曲线数的确定(下)
```On Earth, Be Water, By Coding```
06-11 105
在[【Hydro】SCS-CN方法中径流曲线数的确定(上)](https://blog.csdn.net/qq_25262697/article/details/133796329)中已经介绍了SCS-CN在SWAT和HMS中的应用,以下会补充SCS-CN在XPSWMM、InfoWorks ICM中的应用。以及使用软件计算SCS-CN的步骤。
请帮我写一份教学能力自述
09-11
好的,以下是一份教学能力自述的范文: 我是一名有多年教学经验的教师,我有着深厚的学科知识和较高的教学技能,能够帮助学生更好地掌握知识。 在我看来,优秀的教学需要多方面的能力,包括教学设计、教学方法、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值