关于接口的安全性设计

最新推荐文章于 2024-08-08 02:18:14 发布
最新推荐文章于 2024-08-08 02:18:14 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 接口设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengmin1989/article/details/80696824
版权

    大家都知道,访问一个接口的时候,如果你不做过滤,很容易出问题,比如有人会模拟请求篡改数据,这样就很不安全,因此就要设计一个安全的接口访问方式。

    我的想法是在访问接口带上一个访问的令牌即token,这个token的生成可以根据用户Id生成一个字符串,存放在服务器缓存里面,以后每次访问都带上token,光用token还是不够的,还要带上一个签名,这个签名可以借助微信支付里面的方法,生成签名。

    生成签名包括四个部分,时间戳,随机数,用户ID,签名参数,首先拼接签名参数,然后按照字符串字符按升序排序,然后使用MD5加密,最后转成大写的16进制,这样就生成了一个签名。

    发起请求的时候,请求头里面带有时间戳,随机数,用户ID和刚才上一步得到的签名,根据时间戳判断请求是否失效,根据用户ID可以判断token是否失效,根据请求参数,服务端按照同样的规则计算签名,判断是否与传过来的签名是否一致,如果相同的话就是合法请求,如果不同则可能被篡改,禁止访问数据,返回错误信息。

    但是这样其实还是有问题的,就是生成token的时候,因为这个方法是开放的,别人也可以根据用户ID得到token,如果是这样,他也可以用得到的token模拟请求。


@云淡风轻~
关注
专栏目录
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
API接口安全性设计
ShootCode
04-08 7308
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。时间戳超时机制:用户每次请求都带上当前时间
安全|API接口安全性设计(防篡改和重复调用)
最新发布
weixin_41205278的博客
08-08 66
API接口安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。1. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们...
系统接口安全设计
qq_63033995的博客
11-09 892
服务端接收到请求后进行appKey验证,如果appKey不存在,说明请求无效。将appKey + nonce + timestamp + password采用MD5算法签名,得到的数据就是本次请求的签名signature,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。客户端每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间( 比如2分钟 ),则认为该请求失效。
API接口安全性设计
sun_daming的博客
10-11 484
接口安全性 主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会篡改和重复调用。   Token授权机制:用户使用用户名和密码登陆,服务器会返回Token,并将Token-UserID以键值对的形式保存在缓存服务器中。服务器接到请求后进行Token验证,如果Token不存在,请求无效。 时间戳超时机制:每个用户请求时都会带上当前时间的时间戳,服务器接收到时...
APP接口的安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全。
APP接口的安全设计.ppt
01-10
移动APP接口是怎么保证安全性的,可以采用https,或者是非对称加密。 接口加密的目的是防止被别人用抓包工具,抓包后篡改数据。 关于加密算法常见的有对称加密(DES)和非对称加密(RSA) 对称加密(DES)...
API接口设计规范.docx
02-13
在本规范中,我们将详细介绍 API 接口设计规范的各个方面,包括数据格式规范、API 接口的路径设计、请求参数设计、响应参数设计、错误处理规范和安全性规范等。 数据格式规范: * JSON 格式:API 接口中使用的数据...
如何设计一个安全的对外接口
LOOPY_Y的博客
03-27 1096
如何设计一个安全的对外接口:1.数据加密 2.数据加签 3.时间戳机制 4.AppId机制 5.限流机制 6.黑名单机制 7.数据合法性校验
接口安全设计
肥柯博客
05-16 1196
本文简述开发过程中对接口防刷、接口防篡改、接口时效性、接口加密、接口文档的描述和运用
接口安全性设计
zRainbow的博客
04-12 192
1. 不可见(强制HTTPS) 1. 不可修改(强制HTTPS) 1. 不可伪造(前端接口理论上不可能,但是能通过加密尽量减小影响,服务间接口可保证) 1. 不可重放(接口幂等性处理可以解决,时间戳加随机数完成)
OAuth和OpenID的区别(转)
weixin_34204057的博客
09-17 337
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。  OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此...
API安全接口安全设计
xiongxianze的博客
11-11 1166
转载自:API安全接口安全设计_zhou920786312的博客-CSDN博客_接口安全 如何保证外网开放接口安全性。 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上accessTok...
调用其他服务器接口证书_API 接口安全性设计
weixin_39927799的博客
11-29 263
# API 接口安全性设计## 实现约定规则### 调用方按照规则加密,传输对应参数### 服务方按照规则解密## 防止被其他人调用### appKey & signKey- 原理 - 通过 appKey 标识不同调用方 - 利用 signKey 和 传入参数 生成 sign 进行加密 - signKey 只在本地加密,不参与网络传输 - 比较好的加密方式是 通过 rsa 加密的方...
USB接口与智能卡驱动PKI客户端的安全设计
它的内置CPU和存储器,以及强大的安全机制,确保了数据在智能卡内的安全性。用户私钥的生命周期全程受智能卡保护,提高了密钥管理的可靠性。 USB接口技术的应用则进一步提升了客户端的灵活性和便捷性。USB接口的即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值