【HTTP API】HTTP API接口安全性设计

最新推荐文章于 2024-04-17 13:11:02 发布
最新推荐文章于 2024-04-17 13:11:02 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 14. HTTP API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguolinblog/article/details/90607490
版权

一. 简介

HTTP接口是互联网各系统之间对接的重要方式之一,使用HTTP接口开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享。
由于HTTP接口开放在互联网上,所以我们就需要有一定的安全措施来保证接口安全。

HTTP API接口安全性演进如下

  1. HTTP + 完全开放 (毫无安全可言)
  2. HTTP + 参数签名 (基本安全)
  3. HTTP + 私钥签名公钥验签 (安全性高)
  4. HTTPS + 参数签名 (安全性更高)
  5. HTTPS + 私钥签名公钥验签 (最安全)

总的来说HTTP接口安全主要靠以下3点

  1. 使用HTTPS代替HTTP,因为HTTP是明文传输,HTTPS使用加密传输,HTTPS代替HTTP一般是通过运维手段来实现
  2. 参数签名,客户端和服务端事先约定好秘钥,客户端使用秘钥签名,服务端使用相同算法计算签名进行校验
  3. 客户端使用私钥签名,服务端使用公钥验证签名

无论是使用参数签名法还是使用私钥签名公钥验签法,都是为了确认请求参数没有被篡改,保证请求是安全的。
这篇文章主要介绍一下这2种方法的简单实现。

二. 参数签名

参数签名一般指的是使用hash算法对请求参数计算得到签名。

客户端计算签名步骤如下

  1. 客户端和服务端事先约定 秘钥secret和盐salt,秘钥和盐一般是16或32位字符串
  2. 客户端计算一个sigTime
  3. 请求所有参数和sigTime,拼接成一个字符串并按字典序排序,记为data
最低0.47元/天 解锁文章
玄苦大师233
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPAPI接口详解
JustinMars的博客
01-04 2613
HTTP(Hypertext Transfer Protocol)是一种通信协议,用于在网络中传输超文本(如网页)和其他资源。它是一种用于客户端和服务器之间通信的规则集。HTTP本身并不涉及数据格式或操作的具体定义,而是提供了一种通用的方式来请求和传输数据。 API(Application Programming Interface)是一组定义了软件组件间交互的规范。它定义了不同软件系统之间的通信方式和互操作性,允许不同软件组件、服务或系统进行交互和集成。API可以采用各种协议进行通信,其中HTTP是最常
API接口规范,API接口安全规范
09-15
API 接口规范是指在设计和开发 API 接口时需要遵循的一些基本原则和规范,以确保 API 接口的可读性、可维护性和可扩展性。在本文中,我们将详细介绍 API 接口规范的重要性、Restful API 规范、API 规范、参数及响应...
springboot的切面应用(注解Aspect )
weixin_44632065的博客
01-24 5654
spring boot 拦截的方式 过滤器filter: 可以获取httphttp请求和响应,但无法获取与spring框架相关的信息,如哪个control处理,哪个方法处理,有哪些参数,这些都是无法获取的。主要用于内容上的过滤,敏感字替换成*等,也可用于非登入状态的非法请求过滤。 拦截器interceptor: 除了获取httphttp请求和响应对象,还可以获取请求的类名、方法名,但拦截器无法获取请求参数的值,从DispatcherServlet类源码分析。主要用于对公共的一些拦截获取,例如请求
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 3004
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
HTTP协议简介,数据安全 如何保证http传输安全性httphttps区别
最新发布
2401_82977171的博客
04-17 936
HTTP(超文本传输协议)是应用层上的一种客户端/服务端模型的通信协议,它由请求和响应构成,且是无状态的。(暂不介绍HTTP2)
httpapi接口相关知识点
putrember的博客
08-22 4331
httpHTTP协议的基本知识方法请求响应![请添加图片描述](https://img-blog.csdnimg.cn/f69ae3118f5545b3adb751ad30e38fc9.png)消息的交互测试 工具开发Requests库简介fiddler的使用(抓包)手机抓包 HTTP协议的基本知识 **介绍:**全程超文本传输协议,用来在浏览器和服务器上来传输超文本信息,后来发展到服务器与服务器之间,app和服务器都有使用 **特点:**通讯双方分文客户端和服务端,目前所有HTTP协议是基于TCP协议的,
如何保证HTTP接口请求的安全呢?
MIYAOW
03-19 1万+
在二家公司负责后台开发与APP接口开发。 那我们要如何对接口请求进行一个安全校验或者拦截非法请求呐? 1、选择拦截过滤器。 在请求的时候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证 请求不是非法请求。 2、数据加密。我们知道目前大部分APP接口都是通过Http协议进行调用的容易被抓包拦截。 我们可以对客户端和服务端都对数据
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
API接口设计规范.docx
02-13
在本规范中,我们将详细介绍 API 接口设计规范的各个方面,包括数据格式规范、API 接口的路径设计、请求参数设计、响应参数设计、错误处理规范和安全性规范等。 数据格式规范: * JSON 格式:API 接口中使用的数据...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
Rest Http Api文档模板.docx
09-30
通过对 Rest Http Api 文档模板的分析,我们可以总结出 RESTful API 设计和实现的指导原则,包括 API 设计原则、服务器资源的管理、接口设计的要素、错误处理机制、安全机制和 API 版本控制等。
为什么说声明式API比命令式API更优雅?
Docker的专栏
02-11 7251
▲点击上方“分布式实验室”关注公众号回复“1”抽取纸质技术书越来越多的工具已经从命令式范式转变为声明式范式。在本文中,我提出了一个框架,以帮你系统理解 React、Kubernetes、...
HTTP中的API是什么?
PYHTTPproxy的博客
05-20 1949
代理IP位于用户的设备与互联网之间。在使用代理IP时,用户将无法直接访问Internet,但用户的Web请求将首先通过代理路由,然后再发送到Web服务器。简而言之,API也是获取代理IP的其中一种方式。 在使用代理IP的时候,我们通常会接触到API,那么API是什么呢?HTTP代理IP的API接口是什么?API其实是一个充满代理IP地址的链接,它可以通过浏览器直接打开和读取,也可以通过软件启动请求来调用和读取。换而言之,我们通常使用的HTTP代理IP作为交换机,效率教低,耗时较长,不太适用于代理.
互联网开发--HTTP接口安全设计
叭叭叭的博客
04-17 6466
http接口安全设计的必要性作为http接口的服务端,要能控制你本身自有数据的读写权限。 如果任何客户端在任何时间都能读写你的数据,那么用户数据很容易被修改。这就好比没加用户登录就可以访问和读写所有的系统数据。根本没有安全性可言了。安全设计方案方案1:(加密时间戳+可变的加密串)进行安全控制 原始请求: http://www.zsfy.com/layy/getLayyList.htm?lay
HTTP API 设计指南
wida的编程世界
08-31 602
来自HeroKu的HTTP API 设计指南(中文版) 翻译 by @Easy 简介 本指南中文翻译者为 @Easy ,他是国内首家互联网人才拍卖网站 JobDeer.com 的创始人。转载请保留本信息。 本指南描述了一系列 HTTP+JSON API设计实践, 来自并展开于 Heroku Platform API 的工作。本指南指导着Heroku内部API的开发,
基于http协议的api接口对于客户端的身份认证方式以及安全措施
weixin_30271335的博客
04-26 360
由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsessionid)来辨别客户端的身份的,当客户端进行登录服务器也会将登录信息存放在服务器并与客户端的cookie中的jsessionid关联起来,这样客户端再次访问我们就可以识别用户身份了。 但是对于api服务器,我们不能让访问者先登录再进行访问这样不安全,也不友好...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
Spring设计安全的Restful接口-无用户状态的安全
纸上得来终觉浅,绝知此事要躬行
03-16 3951
设计安全的Restful接口:无用户交互状态的接口安全设计。我们需要实现UR拦截请求拦截,接口接入授权验证和请求验重。本文中不涉及任何用户校验。设计原理:1.UR拦截请求拦截:通过URL进行拦截过滤;2.接入授权验证:验证请求头Token;3.请求验重:验证请求序列Sequence;
接口api开发中安全性问题
华章酱的博客
04-26 6049
所谓接口,就是类似http://Example.com/index.php?module=users&action=info&user_id=333的请求,然后服务器端直接根据user_id来做相应的会员操作,这是及其危险的接口处理,等于把当前的会员系统全暴露出来了,只要对方改一下user_id既可操作所有会员对应的接口。一般在PC端,我们是通过加密的cookie来做会员的辨识和维...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值