接口设计
文章平均质量分 88
十维之眼
这个作者很懒,什么都没留下…
展开
-
接口安全设计之https(攻防)
大家都明白,http传输不安全,https传输安全,所以一般认识里,只要采用https传输就是安全的。但是,果真如此吗?非也,https并非绝对安全。只是说,正常场景下,它是安全的;但是呢,用户和黑客“同流合污”时候,https就不再安全了。可能有人会说,用户怎么可以跟黑客同流合污呢?真别说,还真有,比如下面这两种场景:1、黑客冒充用户,或者说黑客本身就是用户(比如说黄牛党/羊毛党);2、用户不知情或者被骗,成为黑客的帮手(比如说不顾浏览器风险提示继续同意打开网站)。在以上这两种场景下,http原创 2021-08-24 22:30:13 · 808 阅读 · 0 评论 -
接口安全设计之https(协议)
Https:Hyper Text Transfer Protocol over Secure Socket Layer, i.e. Http over SSL。也就是说,http传输本身是不安全的,但是通过增加SSL层,能确保http传输安全。SSL和Http层级关系如下图:注意,SSL并不是http的私人保镖,它也可以是其他应用协议的保镖比如sip、smtp、pop、imap、mysql等。层级位置SSL:STL:通信协议一、握手协议(一)握手协..原创 2021-08-22 22:23:55 · 1577 阅读 · 0 评论 -
接口安全设计之https(证书)
一、证书证书在https中有着举足轻重的作用,所以先来介绍证书这个概念。(一)、CA1、啥样子先来看看一般证书都长什么样:包含三类信息:(1)谁颁发的:颁发者(多数是CA颁发,但有些也是各公司自己颁发比如12306网站的证书)(2)谁使用的:使用者(3)证书本身信息:版本、序列号、签名算法、签名哈希算法、有效期、公钥其中证书中最重要的信息是算法和公钥!2、干吗用的那这个证书干啥用的呢?证书的作用只有一个:验证数据是否可信。首先,证书有一个概念叫证书链。从根原创 2021-08-22 00:06:05 · 950 阅读 · 0 评论 -
接口安全设计之算法
一、一致性/签名算法二、加密/解密算法三、身份ID产生算法原创 2021-08-15 17:36:45 · 351 阅读 · 0 评论 -
接口安全设计之原则
接口安全设计原创 2021-08-15 13:23:06 · 649 阅读 · 0 评论