如何保证HTTP接口请求的安全呢?

最新推荐文章于 2024-07-22 20:13:58 发布
最新推荐文章于 2024-07-22 20:13:58 发布
阅读量1.6w 收藏 15
点赞数 1
文章标签: http协议 数据 安全 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjnpysh/article/details/63426829
版权

在二家公司负责后台开发与APP接口开发。

那我们要如何对接口请求进行一个安全校验或者拦截非法请求呐?

1、选择拦截过滤器。

在请求的时候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证

请求不是非法请求。

2、数据加密。我们知道目前大部分APP接口都是通过Http协议进行调用的容易被抓包拦截。

我们可以对客户端和服务端都对数据传输的时候进行一个加密处理。常用的MD5 AES等。

譬如:上一个项目做法比较简单 对用户与帐号密码进行加密作为一个authcode。每次请求必须携带。这个方法与下边说的方法3组合运用

客户端:

    1、设置一个key(和服务器端相同)

    2、根据上述key对请求进行某种加密(加密必须是可逆的,以便服务器端解密)

    3、发送请求给服务器

服务器端:

    1、设置一个key

    2、根据上述的key对请求进行解密(校验成功就是「信任」的客户端发来的数据,否则拒绝响应)

    3、处理业务逻辑并产生结果

    4、将结果反馈给客户端


3、签名

 根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者Redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis)

在使用Base64方式的编码后,Token字符串还是有20多位,有的时候还是嫌它长了。由于GUID本身就有128bit,在要求有良好的可读性的前提下,很难进一步改进了。那我们如何产生更短的字符串呢?还有一种方式就是较少Token的长度,不用GUID,而采用一定长度的随机数,例如64bit,再用Base64编码表示:

    var rnd = new Random();
    var tokenData = userIp+userId;
    rnd.NextBytes(tokenData);
    var token = Convert.ToBase64String(tokenData).TrimEnd('=');

由于这里只用了64bit,此时得到的字符串为Onh0h95n7nw的形式,长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的(如网盘的提取码)。

4、使用第三方框架与技术整合支持比如spring的框架中的oauth模块。



MIYAOW
关注
专栏目录
Spring Boot 如何保证接口安全?有哪些常用的接口安全技术?
网络技术联盟站
06-04 1902
Spring Boot 作为一个快速开发框架,在开发过程中会遇到大量的接口开发工作。这些接口多数情况下都是和外部系统连接的,因此我们不仅需要考虑功能的实现,还需要保证接口安全。认证(Authentication):即身份验证,确认用户身份是否正确。授权(Authorization):即权限控制,确认用户是否有操作某个资源的权限。数据传输安全:即保证数据在传输过程中不被窃取、篡改或伪造。防止攻击:防止不法分子通过网络攻击的方式进行恶意访问或攻击等。
保证接口数据安全的10种方案
m0_71777195的博客
07-05 1144
我们日常开发中,如何保证接口数据安全性呢?个人觉得,接口数据安全保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数据安全的10个方案。正在上传…重新上传取消我们都知道,数据在网络传输过程中,很容易被抓包。如果使用的是http协议,因为它是明文传输的,用户的数据就很容易被别人获取。所以需要对数据加密。常见的实现方式,就是对关键字段加密。比如,你一个登录的接口,你可以对密码加密。一般用什么加密算法呢?简单
一文介绍接口测试中的请求和响应
最新发布
2401_83014911的博客
07-22 956
我们一般在浏览器中测试web项目,通常网络交互中使用的都是httphttps,所以首先我们要搞清楚的是http协议https是对http的升级,主要是在http协议基础上增加了安全协议ssl,是一种比http安全的协议,只要我们了解了http,就可以搞清楚一般的交互过程。
关于http接口防止非法调用的设计方案
web开发
02-07 771
关于http接口防止非法调用的设计方案 假设有个http接口: 如 http://www.a.com/getBlog.jsp?uid=12 其他系统要调用这个接口数据: 如果不做安全处理,任何系统只要知道接口地址和参数即可调用。很可能造成非法调用,造成安全问题。 。 为了安全,可以考虑如下方案: 接口调用时增加一个校验参数:如 mcheck=xxxxxx http://w...
怎么保证http请求安全
qq_42896289的博客
09-10 1391
【Java】【通信安全】怎么保证http请求安全
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1266
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
工作中的接口如何保证其访问的安全
zalan01408980的博客
11-08 2120
背景        在实际的工作中,由于前端和后端分离,后端需要提供前端满足的所有的接口,有些接口获取的信息是涉及到客户隐私,有些接口是给和我公司存在合作方的才能使用,有些是调用的第三方的接口,那么这些接口如何保证其访问的安全性呢 实际分析        在实际的工作中,对上述的三种情况汇总为两种校验方式进行论述:        一、公司内部的接口          公司内部的接口,当然...
java中如何保证接口安全的,阿里一面:如何保证API接口数据安全
weixin_31182871的博客
03-21 1477
由于公众号文章推送规则的改变,所以为了大家能够准时收到我们的文章推送,请记得将公众号:JAVA设为星标~这样就不会错过每一篇精彩的推送啦~来源|头条作者 老顾聊技术前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者...
如何保证API接口数据安全
liinux-Talk is cheap,show me the code.
01-31 2204
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据安全性非常重要,特别是用户相关的信息,稍有不慎就会被不法分子盗用,所以我们对这块要非常重视,容不得马虎。 如何保证API调用时数据安全
API接口安全策略文档
06-29
《API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
聊聊如何保证api接口数据安全?
loongshawn的博客
12-24 1599
如何保证api接口数据安全?
Java基础学习总结(180)——如何保证API接口安全
科技D人生
05-28 1033
一、摘要 在实际的业务开发过程中,我们常常会碰到需要与第三方互联网公司进行技术对接,例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务,如果你是一个创业型互联网,大部分可能都是对接别的公司api接口。当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢? 二、方案介绍 最常用的方案,主要有两种: token方案 接口签名 2.1、token方案 其中 token 方案,是一种在web端
HTTP如何保证安全传输
weixin_47906106的博客
12-09 2467
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就可以通过抓包工具监听到内容,甚至篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免: 重要数据加密 比如用户名和密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么。简单的md5是可以暴力破解的,所以加密方式越复杂就越安全,可以根据需要自由组合 常见的是 md5(不可逆),aes(可逆) 非重要数据要签名 签名的目的是防止篡改,比如http://www.xxx.com/getnews?id=1,获
怎么确保服务端的接口调用安全
建仔的博客专栏
08-21 1209
在设计API时,要保证RESTful API的安全性,主要考虑三个大方面: 1.对受限资源的登录授权 2.对请求做身份认证 3.对敏感数据进行加密 思路: 一、受限资源的登录授权 此流程不是本文重点,不赘述,基本流程如下: 客户端提交账号信息(用户名+密码)到服务端 服务端验证成功,返回AccessToken给客户端存储 3.访问受限资源时,客户端带入AccessToken就可访问。 二、请求认证...
由一次安全扫描引发的思考:如何保障 API 接口安全性?
极客挖掘机
05-27 765
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,.
浅谈如何保证API接口安全
06-12 1779
在实际的业务中,需要通过定义各种接口规范来保证传输的安全性。 token 访问令牌access token,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 服务端生成Token后需要将token做为key,将一些和token关联的信息作为value保存到缓存服务器中(redis),当一个请求过来后,服
如何保证API接口安全
qq_39308587的博客
05-24 7984
如何保证API接口安全性 怎样防伪装攻击 防伪装攻击:即防止接口被其他人调用,此阶段可以理解为比如已经登录了,然后在请求其他接口的时候,通过Token授权机制来判断当前请求是否有效 Token是客户端访问服务端的凭证。 Token授权机制 用户用密码登录或者验证码登录成功后,服务器返回token(通常UUID)给客户端,并将Token-UserId以键值对的形式存放在缓存服务器中。 客户端将token保存在本地,发起后续的相关请求时,将token发回给服务器; 服务器检查t..
保证http安全
洪源的博客
12-09 1491
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就通过抓包工具监听到内容,甚至可以篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免。 重要的数据,要加密,比如用户名密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么(如果简单的md5,是可以暴力破解),所以加密方法越复杂越安全,根据需要,常见的是 md5(不可逆),aes(可逆),自由组合吧,你还可以加一些特殊字符啊,没有做不到只有想不到, 举例:username = aes(username),
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值