RESTful API安全

最新推荐文章于 2024-08-16 10:33:39 发布
最新推荐文章于 2024-08-16 10:33:39 发布
阅读量816 收藏 2
点赞数
分类专栏: java开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blogzlh/article/details/83109370
版权

RESTful API

1、对客户端做身份认证 

HTTP Basic身份认证安全性较低,必须与HTTPS配合使用。

HTTP Digest身份认证可以单独使用,具备中等程度的安全性。

这类基于简单用户名+密码机制的安全性不可能高于基于非对称密钥的机制(例如数字证书)

使用OAuth协议做身份认证

2.对敏感的数据做加密,并且防止篡改,常见的做法有:

部署SSL基础设施(即HTTPS),敏感数据的传输全部基于SSL。  
仅对部分敏感数据做加密(例如预付费卡的卡号+密码),并加入某种随机数作为加密盐,以防范数据被篡改。

3、如何对RESTful API进行版本控制

一个比较简单实用的做法是直接在URI中插入版本号,这样做允许多个版本的API并行运行。

另一个做法是在HTTP请求中加入自定义头信息,标明使用的版本号。不过这个做法其实对浏览器不够友好,简单地使用浏览器+HTML无法测试。

个人认为最好的版本化,就是没有明显的版本。在对已发布的服务进行变更时,要尽量做到兼容

 

4、JAX-RS 2.0规范对于RSTfulAPI的设计最有价值的特性

a) Client API——用来规范化JAX-RS客户端的开发方式。 
b) Server-side Asynchronous HTTP——用来实现服务器端推送功能,而不需要依靠低效的轮询方式。 
c) Filters and Interceptors——用来分离关注点,将鉴权、日志等逻辑与业务逻辑分离开,更好地实现代码重用。

这三部分的内容对于开发者来说都很有用。遵循JAX-RS规范做开发,可以确保服务器端以及客户端代码的可移植性。

 

blogzlh
关注
专栏目录
一种简单的REST API接口加密实现,只允许自己的产品调用后台,防止接口被刷
愤怒的小菜鸡
08-13 6312
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。 1.实现思路: 客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_time进行对比...
REST API 安全设计指南.pdf
05-12
REST API 安全设计指南。REST的全称是REpresentational State Transfer,它利用传统Web特点,提出 提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简 洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计指南》就 是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。
RESTFUL API 安全设计
weixin_34303897的博客
10-23 262
2019独角兽企业重金招聘Python工程师标准>>> ...
什么是Restful API
坏蛋阿土的博客
08-16 2704
RESTful API 是一种基于 REST(Representational State Transfer,表述性状态转移)架构风格的应用程序编程接口(API)。RESTful API 是一种通过 HTTP 协议进行数据通信的接口设计方法,广泛用于构建网络应用和服务。RESTful API 是无状态的,这意味着每个请求都是独立的,服务器不会在请求之间保存任何状态信息。
Restful API 安全
xiaojian90的博客
08-15 667
restful是一种轻量级的web service实现方式。restful并不是标准,也没有对应的软件实体,只是基于http协议的一种指导性的设计方法或原则。当下流行的open api大部分采用restful的方式实现,但restful并不限于此。普通的web app,移动app,以及系统
分析RESTful API安全性及如何采取保护措施
Eolink 的博客
07-01 1318
本文中讨论了API安全性和采用安全措施的重要性,如身份验证,API密钥,访问控制和输入验证。 API设计的第一步是撰写接口文档 根据TechTarget(海外IT专业媒体)的定义,RESTful API是一个应用程序接口,它使用HTTP请求来获取GET,PUT,POST和DELETE等数据。从技术层面上看,RESTful API(也称为RESTful Web服务)是一种基于代表性状态转移(RE...
RESTful接口签名认证实现机制
weixin_33816611的博客
04-10 763
RESTful接口        互联网发展至今,催生出了很多丰富多彩的应用,极大地调动了人们对这些应用的使用热情。但同时也为互联网应用带来了严峻的考验。具体体现在以下几个方面: 1.     部署方式的改变:当用户量不多的情况下,可能只需部署一台服务器就可以解决问题,但是当很多用户的情况下,为抗住高并发访问,需要组成应用集群对外提供服务; 2.     应用构建的改变:很多应用采用了多种技...
RESTfulAPI设计:RESTfulAPI安全性设计.docx
最新发布
08-28
RESTfulAPI设计:RESTfulAPI安全性设计.docx
RESTful API安全与认证机制
## 1.3 RESTful API安全和认证的意义 ## 二、RESTful API安全基础 在开发和使用RESTful API的过程中,我们必须意识到安全是一个非常重要的方面。下面我们将介绍常见的RESTful API安全威胁以及如何有效防范这些威胁...
RESTful API安全性:常见攻击与防范
RESTful API安全基础知识 RESTful API是一种基于REST架构原则设计的API接口,它使用标准的HTTP方法进行通信,并且具有无状态性和资源导向的特点。由于RESTful API通常涉及对敏感数据的访问和操作,因此其安全性尤...
RESTful API安全性:Express.js中的权限控制
理解RESTful API安全RESTful API是一种基于REST架构风格设计的应用程序接口,它使用简单的HTTP请求来进行通信,并具有统一的接口、无状态、可缓存、层次化系统等特点。在当今Web开发中,RESTful API已经成为了...
restful安全设计指南
05-03
基于thinkphp5的 restful设计 高清带目录,php和Thinkphp5框架入门好书
如何设计好的RESTful API安全
热门推荐
ywk253100的专栏
05-12 3万+
导读:安全是恒久的话题,对于基于WSDL和SOAP的Web Service,我们有WS-Security这样的安全规范来指导实现认证、授权、身份管理等安全需求。如何保证RESTful API安全性呢。 关键词:RESTful API API安全性  前面讲了好的RESTful API具有的一些特征,本文会继续探讨RESTful API安全性问题。 InfoQ:安全是恒久的话题,对于基
RESTful API安全性常用方法
youbo_sun的专栏
03-02 2767
保证RESTful API安全性,主要包括三大方面:  a) 对客户端做身份认证  b) 对敏感的数据做加密,并且防止篡改  c) 身份认证之后的授权  对客户端做身份认证,有几种常见的做法:  在请求中加签名参数 1.为每个接入方分配一个密钥,并且规定一种签名的计方法。要求接入方的请求中必须加上签名参数。这个做法是最简单的,但是需要确保接入方密钥的安全保存,另外还要注意防范r
RESTful Web 服务 - 安全
勇往直前的专栏
03-09 454
因为 RESTful Web 服务使用 HTTP URLs 路径,因此以保护网站同样的方式维护 RESTful Web 服务是非常重要的。以下是设计 RESTful Web 服务时要遵循的最佳实践。 验证 - 验证服务器上的所有输入。保护服务器免受 SQL 或者 NoSQL 注入攻击。 基于会话的认证 - 请求一个 Web 服务方法时使用基于会话的认证对用户进行身份验证。 URL 不要有敏感...
java restfull加密,一种简单的REST API接口加密实现,只允许自己的产品调用后台,防止接口被刷...
weixin_30802399的博客
03-20 597
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。后台接口很容易暴露1.实现思路:客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_ti...
从resfful API设计到加密
11-04 159
众所周知,SOAP 是基于XML的webservice协议,传的数据都是xml格式的,而当下resftul设计比较火,因为快效率高,但是安全性就不及SOAP, SOAP定义了xml-security的一些规范,除了传数据,还要传额外的安全认证信息。而restful设计没有对安全性规范做什么定义。 那么如何确保Restful设计的安全性呢? 其实不管什么SOA协议,都要面临着安全性问...
关于 RESTFUL API 安全认证方式的一些总结
DreamSun的博客
05-24 1749
RESTful API是基于HTTP协议的API(Application Programming Interface),它的核心是将所有的API都理解为一个网络资源,客户端请求资源时操作的是资源的表述而不是资源本身,每条请求都应包含足够的信息来让服务器知道如何处理该消息,即将所有的客户端和服务器的状态转移封装到HTTP请求的Method之中,它拥有Url唯一资源对应的特性。 由于RESTful Api是基于HTTP协议的API,并且是无状态传输,意味着服务器不会保存客户端的状态,每一次的调用和上一次调用请求
RESTful API安全设计详解:基于ThinkPHP5的实践与指南
RESTful安全设计指南》是一份基于ThinkPHP5的RESTful架构设计文档,旨在帮助开发者理解和实施RESTful API安全策略。REST(Representational State Transfer)是一种网络应用程序架构风格,它利用HTTP协议进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值