api接口安全

最新推荐文章于 2024-07-18 21:45:00 发布
最新推荐文章于 2024-07-18 21:45:00 发布
阅读量471 收藏 3
点赞数 2
分类专栏: 接口 文章标签: api 接口安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chensli/article/details/103310237
版权

Api接口的安全

Api接口可以分两种一种是需要登录才能获取数据,使用的是token

使用jwt加密技术加密用户信息,设置token的过期时间一般是2个小时,提高token的安全性,然后把token返回给客户端,客户端可以将token存入localstorage或者cookie中,cookie和localstorage的区别是cookie只能存4k的数据,localstarage能存5m,cookie可以设定过期时间,默认为一次会话,localstarage会一直存在,除非手动清除,下次请求时可以把token放入请求头里,带到服务器,通过jwt进行解密,如果解不回来,或token过期,那就认为用户没有登录。
有两种方法 第一种就是跳到登录界面,让用户在登录,但这样就使用户需要每两个小时就要登录一下,用户体验很不好
第二种就是设置一个refeshtoken过期时间要比token时间长,如果返回的状态码是401,就是token过期了,让他带着refeshtoken去换取新的token和refeshtoken,把新的token和refeshtoken替换旧的,然后继续上一次的请求,这里要用到ajax的同步。这样通过refeshtoken完成了无痛刷新。这样能实现接口的安全
还有一种接口是不需要登录的接口,比如说取得推荐商品,获得分类等,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。
我们可以在前台使用时间戳和随机数还有一个固定的口令,用MD5或是别的加密方式(Rsa非对称加密),生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。
但还是不安全,可以通过抓包工具获得时间戳,随机数,签名,这样还是能获取数据,怎么解决呢?我们可以使这个签名只能使用一次,可以把签名存入数据库或Redis中,我选择的是Redis,速度快,把签名作为键,值的话随便,这样在验证签名前查找Redis中是否存在相同的签名,不存在才能往下走。
这样不需要登录的接口也能实现接口的安全。

chensli
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口安全(一)
qq_42080759的博客
11-14 3381
一、请求的截获与篡改 1.隐藏域攻击——查看元素中"display":none的即为隐藏域(用户不可见,但会随表单一起提交) 可以直接在elements中修改,删去 "display":none 页面上就能看见之前隐藏的元素了(但是一刷新就会又全部显示出来) 例如下单页面将“会员优惠”做成隐藏域,用户自己打开并输入金额后,在后端没有校验的情况下就较少了支付的金额。 避免的方式:1.在可以动态生成元素的情况下,不使用隐藏域提前创建元素;2.在提交表单时,使用js对隐藏域的值做判断 3.对于关键参数
关于接口安全
奇葩也是花
08-22 612
<?php header('content-type:text/html;charset=utf-8'); class DES { /** * DES加密 (需要打开php.ini的extension=php_mcrypt.dll) * @param string $input * @param string $key * @return str
推荐几个免费好用的API接口平台
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-18 4283
免费API接口平台尤其受到中小企业和独立开发者的青睐,因为它们能够在不增加成本的情况下提供强大的功能支持。这些平台涵盖了从数据访问、支付处理到社交媒体集成等各类应用场景,使得开发者可以专注于核心业务逻辑,而不必从零开始构建基础设施。此外,这些平台通常拥有丰富的文档和社区支持,进一步降低了使用门槛,提升了开发效率。传统API集成流程在 API 资源集成过程中,每个阶段都扮演着至关重要的角色。任何一个环节出现问题都可能对整个集成流程造成影响,甚至导致失败。
api 接口安全
qq_39548647的博客
08-30 366
一、概念 1. 系统参数 不同于业务参数,系统参数是无论如何都要传递给后端的参数。传递时,不与业务参数混在一起,而是在请求header中传输。 2. 秘钥 后端会为每个第三方/调用方设置一个秘钥,需要保密,只有后端代码与第三方/调用方自己知道。该秘钥用于在调用接口前,生成签名,后端在收到请求后,验证签名。 3. 签名 签名由前端生成,并在请求header中传输给后端。只有在前端生成的签名通过了后端的验证后,该请求才算有效。 二、前端 1. 系统参数 系统参数,即为“与业务无关”
API接口安全
weixin_30888413的博客
09-02 1285
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; ...
API安全的防御建设
weixin_34128534的博客
01-10 209
应用程序编程接口(API)是公司企业为客户增加其产品价值的好办法。通过将数字资产和服务提供给更广大的受众,API已经发展成了核心业务重点,“API经济”都成了商业行话中的固定词组。API安全的防御建设API安全的防御建设 API项目中,既管理访问又保护系统,同时还参与数字生态系统的安全策略十分重要。应用程序主管必须设计、执行并监管有效API安全策略,包括API网关的使用。而随着该领域的发展和业内玩...
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
API 接口安全处理
API
03-16 9391
背景 开放 API 接口如果没有经过安全处理,则很容易出现三类安全问题,包括信息截获、篡改与泄露。 首先是用户密码容易被截获,比如某家公司在开发开放式 API 时,没有对其进行安全控制,那么该公司的客户信息很容易被黑客截获,黑客在掌握客户的用户名、密码等相关信息与资料后,便能够利用客户的身份来登录,使得客户的隐私信息泄露,黑客便可以轻易地盗刷客户信用卡,使得客户承受损伤;其次是表单数据很容易被篡改,比如某家公司所开发的开放 API 并没有进行过防篡改控制,有客户在购买1000 元产品后,其提交表单被黑客利用
API接口安全性设计
long458的专栏
04-10 2437
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 时间戳超时机制:用户每次
API安全
Anzexi123的博客
02-12 2455
API安全
浅谈API接口中的安全
qq_42011355的博客
10-14 1880
前言 在我们平时进行前后端分离项目开发和调用外部功能时,都会使用API接口形式与服务器进行数据通信,而对于网页或者app,只要通过抓包就可以清楚的知道这个请求获取到的数据,数据充满着被盗用、伪造的风险,所以如何保证API调用时数据的安全性是个非常重要的问题。 通常的解决方案有: 1、通信使用https 2、请求签名,防止参数被篡改 3、时间戳超时机制 4、防重放,防止接口被第二次请求,防采集 一、通信使用HTTPS 为了解决在使用HTTP时出现这种情况:用户注册的请求在到达服务器之前,就已经被人截获了,用户
API接口安全
番薯大佬的专栏
07-27 1008
安全防御方案 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。 加时间戳 该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。 加
API接口安全
l_learning的博客
04-19 663
token被劫持,DOS攻击,重复提交等,接口安全尤为重要,接口安全主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用。 Token授权 token是客户端访问服务端的凭证。用户通过账号密码登录后,服务器返回token给客户端,并存储在缓存中,服务器接受到请求后进行token验证,如果token不存在说明未登录, 时间戳超时 时间戳超时机制是防御DOS攻击的有效手段。每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间
开放的api接口安全问题
07-27
开放的API接口安全问题是一个重要的考虑因素。身份验证是确保API安全的一种方法。通过身份验证,可以限制或删除滥用API的使用者,并保护他们的安全。对于开放的API,即使是免费的API,也应该考虑采用身份验证策略以确保安全性。\[1\] 在API接口传输过程中,加密和签名也是保证安全性的重要手段。加密可以使用对称加密和非对称加密两种方式。对称加密使用相同的密钥进行加密和解密,效率高但密钥管理和分配较为复杂。非对称加密使用一对密钥,公钥和私钥,公钥可以发给任何请求者,而私钥只能由一方安全保管。非对称加密提供了更高的安全性,常用的算法是RSA算法。\[2\] 除了加密,接口传输还可以使用签名来确保数据的完整性和真实性。签名是对数据进行加密的过程,接收方可以通过验证签名来确认数据的完整性和真实性。签名可以使用MD5等混淆算法来实现。\[2\] 综上所述,开放的API接口安全问题可以通过身份验证、加密和签名等措施来解决。这些措施可以保护API安全性,防止滥用和数据泄露等问题。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [开放式API安全防护的七大原则](https://blog.csdn.net/zhanghuan0126/article/details/112856246)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [开放API接口安全处理](https://blog.csdn.net/banliao3463/article/details/101663491)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [开放平台API接口加密,签名策略](https://blog.csdn.net/weixin_42212026/article/details/84538971)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值