【HTTP API】HTTP API接口安全性设计

最新推荐文章于 2024-08-04 20:24:28 发布
最新推荐文章于 2024-08-04 20:24:28 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 14. HTTP API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguolinblog/article/details/90607490
版权
本文介绍了HTTP API接口的安全性设计,包括参数签名和私钥签名公钥验签的方法。参数签名通过约定的秘钥和盐计算签名,防止请求参数篡改;私钥签名公钥验签则利用非对称加密提高安全性,确保请求未被中间人攻击。文章提供了简单的实现步骤和代码示例。
摘要由CSDN通过智能技术生成

一. 简介

HTTP接口是互联网各系统之间对接的重要方式之一,使用HTTP接口开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享。
由于HTTP接口开放在互联网上,所以我们就需要有一定的安全措施来保证接口安全。

HTTP API接口安全性演进如下

  1. HTTP + 完全开放 (毫无安全可言)
  2. HTTP + 参数签名 (基本安全)
  3. HTTP + 私钥签名公钥验签 (安全性高)
  4. HTTPS + 参数签名 (安全性更高)
  5. HTTPS + 私钥签名公钥验签 (最安全)

总的来说HTTP接口安全主要靠以下3点

  1. 使用HTTPS代替HTTP,因为HTTP是明文传输,HTTPS使用加密传输,HTTPS代替HTTP一般是通过运维手段来实现
  2. 参数签名,客户端和服务端事先约定好秘钥,客户端使用秘钥签名,服务端使用相同算法计算签名进行校验
  3. 客户端使用私钥签名,服务端使用公钥验证签名

无论是使用参数签名法还是使用私钥签名公钥验签法,都是为了确认请求参数没有被篡改,保证请求是安全的。
这篇文章主要介绍一下这2种方法的简单实现。

二. 参数签名

参数签名一般指的是使用hash算法对请求参数计算得到签名。

客户端计算签名步骤如下

  1. 客户端和服务端事先约定 秘钥secret和盐salt,秘钥和盐一般是16或32位字符串
  2. 客户端计算一个sigTime
  3. 请求所有参数和sigTime,拼接成一个字符串并按字典序排序,记为data
最低0.47元/天 解锁文章
玄苦大师233
关注
专栏目录
HTTPAPI接口详解
JustinMars的博客
01-04 2797
HTTP(Hypertext Transfer Protocol)是一种通信协议,用于在网络中传输超文本(如网页)和其他资源。它是一种用于客户端和服务器之间通信的规则集。HTTP本身并不涉及数据格式或操作的具体定义,而是提供了一种通用的方式来请求和传输数据。 API(Application Programming Interface)是一组定义了软件组件间交互的规范。它定义了不同软件系统之间的通信方式和互操作性,允许不同软件组件、服务或系统进行交互和集成。API可以采用各种协议进行通信,其中HTTP是最常
HTTP API 设计指南
wida的编程世界
08-31 629
来自HeroKu的HTTP API 设计指南(中文版) 翻译 by @Easy 简介 本指南中文翻译者为 @Easy ,他是国内首家互联网人才拍卖网站 JobDeer.com 的创始人。转载请保留本信息。 本指南描述了一系列 HTTP+JSON API设计实践, 来自并展开于 Heroku Platform API 的工作。本指南指导着Heroku内部API的开发,
深入理解接口测试:实用指南与最佳实践(二)API文档解析HTTP协议
最新发布
yang_xs的博客(只讲干货)
08-04 787
测试可以提前介入,提早发现Bug,符合质量控制前移的理念 可以发现一些页面操作发现不了的问题 接口测试低成本高效益(底层的一个Bug能够引发上层8个左右Bug,接口测试可以实现自动化) 不同于传统的单元测试,接口测试是从用户的角度对系统进行全面的检测 符合 质量控制前移理念
Http接口安全整理
凡是过往,皆为序章
07-12 5411
1.Http接口安全概述:       1.1、Http接口是互联网各系统之间对接的重要方式之一,使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;       1.2、目前国内互联网公司主要采用两种做法实现接口的安全:                ...
【经典】HTTP接口安全
GeeLoong`s Blog
02-13 2198
1.Http接口安全概述:        1.1、Http接口是互联网各系统之间对接的重要方式之一,使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;        1.2、目前国内互联网公司主要采用两种做法实现接口的安全:           ...
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
API接口规范,API接口安全规范
09-15
API 接口规范是指在设计和开发 API 接口时需要遵循的一些基本原则和规范,以确保 API 接口的可读性、可维护性和可扩展性。在本文中,我们将详细介绍 API 接口规范的重要性、Restful API 规范、API 规范、参数及响应...
API接口设计规范.docx
02-13
在本规范中,我们将详细介绍 API 接口设计规范的各个方面,包括数据格式规范、API 接口的路径设计、请求参数设计、响应参数设计、错误处理规范和安全性规范等。 数据格式规范: * JSON 格式:API 接口中使用的数据...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
http api 接口测试工具
12-10
1 可以设置多个服务器地址 2 可以保存多个配置脚本 3 可以配置每个脚本的变量,并且保存上次测试变量值 使用说明: 1 配置web服务器地址后,点击后面的添加按钮 比如输入web服务器地址:http://127.0.0.1/report 2 配置http aip接口脚本和参数,点击添加按钮 例如配置httpapi脚本:test.php 配置httpapi参数:ss,cn,type 3 执行 选择相应的服务器地址 选择相应的api脚本名称 输入相应的提交参数值
http接口认证实现
05-10
http对外接口安全认证,利用spring aop方式,对特定的controller的方法进行拦截,类似微信SDK的安全认证功能,实现http请求认证。认证后产生令牌,30分钟有效期内可使用令牌无需认证。详细内容请关注微信公众号“懵懂少年songyou”
HTTP API接口安全设计
weweeeeeeee的博客
07-11 375
HTTP API接口安全设计 API接口调用方式 HTTP + 请求签名机制 HTTP + 参数签名机制 HTTPS + 访问令牌机制 有没有更好的方案? OAuth授权机制 OAuth2.0服务的几种授权流程 ------------------------------------------ 来源:博客园 ...
HTTP API 设计指南(基础部分)
weixin_33857679的博客
01-25 93
为了保证持续和及时的更新,强烈推荐在我的Github上关注该项目,欢迎各位star/fork或者帮助翻译 前言 这篇指南介绍描述了 HTTP+JSON API 的一种设计模式,最初摘录整理自 Heroku 平台的 API 设计指引 Heroku 平台 API 指引。 这篇指南除了详细介绍现有的 API 外,Heroku 将来新加入的内部 ...
HTTP API接口规范
一枚很low得程序猿
07-05 3029
1 概述 本文档简要介绍了一些 HTTP + JSON 的 API 设计实践。 1.1 名词 简称 全称 备注 HTTP Hyper Text Transfer Protocol 超文本传输协议 HTTPS Hyper Text Transfer Protocol over Secure Socket Layer 以安全为目标的 HTTP 通道 REST Representational State Transfer 表述性状态传递 JSON JavaScript Object Notation 一个轻量
设计安全HTTP接口方案
windowsliusheng的专栏
06-06 1448
微信API接口传输: Token(长度3-32字符)、 加密秘钥(43位字符组成) 加密签名(token、时间戳、随机数) 参数 描述 signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 timestamp 时间戳 nonce 随机数 echostr 随机字符串 开发者通过检验s...
HTTPHTTP API 设计
weixin_34087301的博客
06-07 282
HTTP 基本知识 URI URL(统一资源定位符),我们比较熟悉,URI是3个单词的缩写,Uniform Resource Identifier URI用字符串表示某一互联网资源,而URL表示资源的地点,可见URL是URI的子集;采用HTTP协议时,协议方案就是http,除此之外,还有ftp、file等,标准的URI协议有30种方案左右。 hierarchical part ┌─...
这份 HTTP API 设计指南,建议收藏!
架构文摘
04-19 346
返回合适的状态码为每一次的响应返回合适的HTTP状态码. 成功的HTTP响应应该使用如下的状态码:200: GET请求成功, 以及DELETE或 PATCH 同步请求完成201: POST 同步请求完成202: POST, DELETE, 或 PATCH 异步请求将要完成206: GET 请求成功, 这里只是一部分状态码: 更多对于用户请求的错误情况,及服务器的异常错误情...
HTTP API 设计最佳实践
这篇指南深入探讨了HTTP+JSON API设计原则和最佳实践,旨在创建一致、简洁且易于理解的API接口。它源于Heroku平台的API设计经验,不仅适用于Heroku自身的API,也适用于任何希望遵循良好API设计规范的开发者。 ## ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值