高可用的接口安全规范

最新推荐文章于 2024-07-21 10:19:19 发布
最新推荐文章于 2024-07-21 10:19:19 发布
阅读量1.6w 收藏 33
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/larger5/article/details/85939068
版权

一、前言

① 上线产品
② 涉及会员时长充值
③ …

这时候,权限安全就显得十分重要了,下面是公司定制的一套高可用的安全机制 v1.0
有空更新笔者的 SpringBoot 的实现代码。

二、接口安全

接口安全一般分三部分:调用方身份令牌token(防CSRF攻击)、参数签名sign(防篡改)、时效性timestamp(防Dos攻击)

一、生成规则:

  1. Token:用户登录时,服务器为该用户生成身份令牌token、用于刷新token的refresh_token。token有效时间为1天,refresh_token有效时间为一个月。
    在使用过程中,所有接口都需要带该token。当token过期时,使用refresh_token获取新的token。当refresh_token也过期时,重新登录授权

refresh_token的作用是,代替先前获取token的手机号、openid、密码等敏感参数。

  1. Sign: APP请求接口时附加在url上的参数。sign = (appkey+url+所有参数按照参数名字母升序排列后键值对拼接+timestamp+appkey)
    其中,参数的拼接不包括“=、&”等特殊符号,url字段主要作用在于签名RestFul接口。

例如:接口为“http://api.acb.com/def/efg”,参数为“key1=value

最低0.47元/天 解锁文章
IT小村
关注
商业银行应用程序接口安全管理规范.pdf
08-21
商业银行应用程序接口安全管理规范
PHP:API 接口规范完整版本
热门推荐
海生的博客
08-02 1万+
整体规范建议采用RESTful 方式来实施。 协议 API与用户的通信协议,总是使用HTTPs协议,确保交互数据的传输安全。 域名 应该尽量将API部署在专用域名之下。 https://api.example.com 如果确定API很简单,不会有进一步扩展,可以考虑放在主域名下。 https://example.org/api/ api版本控制 应该将
规范:前后端接口规范
最新发布
为无为,事无事,味无味。
07-21 1533
一个接口一般对参数(请求数据)都会进行安全校验,参数校验的重要性自然不必多说,那么如何对参数进行校验就有讲究了。一般来说有三种常见的校验方式,我们使用了最简洁的第三种方法业务层校验Validator + BindResult校验Validator + 自动抛出异常业务层校验无需多说,即手动在java的Service层进行数据校验判断。不过这样太繁琐了,光校验代码就会有很多而使用。
一个安全接口,必须满足这12个原则
m0_61075687的博客
06-12 1160
细化权限控制:在多租户系统或具有复杂权限管理的场景中,可能需要对数据进行额外加密来实现更细粒度的访问控制,即使数据在HTTPS加密通道中传输,也能确保只有拥有相应解密密钥的用户或系统组件能访问数据。长期数据保护:HTTPS提供的会话级别的加密主要针对数据在传输过程中的保护,而应用层加密有时是为了实现数据的持久化加密,确保即使数据存储或备份被非法访问,也能保持加密状态。处理的业务逻辑比较复杂时,接口耗时比较长,特别是有些批量接口,如果采用同步方式,可能存在超时的情况,甚至可能拖垮对方服务。
API 接口安全整理
云满笔记
12-05 565
HTTP 接口是互联网各系统之间对接的重要方式之一, 使用 HTTP 接口, 开发和调用都很方便, 也是被大量采用的方式, 它可以让不同系统之间实现数据的交换和共享, 但由于 HTTP 接口开放在互联网上, 那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;一种是以支付宝等支付公司为代表的私钥公钥签名验证机制;-一种是大量互联网企业都常采用的参数签名验证机制;
java接口安全规范,后续完善相关代码
it1993的博客
04-30 335
API接口规范,API接口安全规范
09-15
API 接口规范安全规范详解 API 接口规范是指在设计和开发 API 接口时需要遵循的一些基本原则和规范,以确保 API 接口的可读性、可维护性和可扩展性。在本文中,我们将详细介绍 API 接口规范的重要性、Restful API...
居民身份证验证安全控制模块接口技术规范
11-15
《居民身份证验证安全控制模块接口技术规范》是GA-T 467-2019这一国家标准的重要组成部分,主要涉及身份证识别与验证系统的安全性及控制模块的接口设计。该规范旨在确保身份证信息的安全读取、验证和管理,防止非法...
商业银行应用程序接口安全管理规范 JRT 0185 2020.pdf
02-24
标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求
漫谈Java语言的接口与类型安全
键者天行
10-26 6253
  接口是实现构件可插入性的关键,可插入构件的关键在于存在一个公用的接口,以及每个构件实现了这个接口。   什么是接口?  Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。  接口的两种含义:一,Java接口,Java语言中存在的结构,有特定的语法和结构;二,一个类所具
军用软件接口设计规范
12-23
军用软件接口设计规范,有详细的接口设计文档模板
如何保证接口高可用、高性能
fengdijiang的专栏
06-27 3346
高性能:如果我们发现这个接口tps和响应时间没有达到我们的要求怎么办。 A:数据存储方面:我们会想数据库有没有分库、分表、有没有做主从,有没有读写分离、字段是否有加索引、是否存在慢 sql,数据库引擎是否选用合适、是不是用了事务; 其次我们会想到是不是引用了分布式缓存、缓存 key 大小是否合适,失效时间是否设置合理,会不会大量缓存穿透、有没有引入本地缓存。 B:业务方面:是否...
接口安全性考虑
weixin_38923162的博客
03-09 5440
接口安全
Android开发规范:API接口安全设计规范
ChatGPTer
08-26 1908
APP的数据来源就是API接口,所以API接口对于APP的意义来说不言而喻。 设计API接口最重要的考虑点就是安全机制。 我们这边将从三个方面来考虑怎么设计一个安全的API接口。 防篡改 防篡改就是防止请求的URL参数值发送至服务器的时候被改动。 普通的API接口格式是xxx.html?key1=xx?key2=xx?key3=xx。 我们采用 sign 签名方式保证数据传输的正确性。 我们的ap...
API接口安全
qq_33642970的博客
02-27 662
安全、API、接口
接口设计原则(安全方面)
紫一的博客
03-30 719
接口设计原则(安全方面) 1.数据有效性校验 常规性校验:包括必填字段,长度检测。格式校验等。 鉴权校验:当前请求必须符合权限等。 业务校验:根据实际业务而定,比如订单金额不能小于0等等。 作用:在接口层做用户鉴权校验和参数校验,比如做ID基础校验,id<0 直接拦截这样就很有效的能够解决恶意请求从而导致缓存击穿的问题。这里有一个小细节,就是我们开发的时候要保持一个不信任的心,就是不要相信任何的调用方,比如你提供了一个API接口出去,有几个参数。我觉得作为被调用方,任何可能的参数都应该被考虑到
接口设计-安全
cat_watch的博客
06-20 463
概述 本文介绍几种对外接口安全性设计 要求 传输过程中不泄漏 传输结果可被识别 方案 数据加密 概念:针对数据传输过程中容易被抓包的问题,对关键信息进行加密操作 方案 关键信息加密,例如对密码进行MD5加密 通过对消息的结构化,对返回内容进行加密 { code:200, message:"success" data:{ //返回时对data内容进行加密 } } 将HTTP 改为 HTTP...
接口安全设计之原则
十维之眼的博客
08-15 693
接口安全设计
提升工作效率:API接口规范安全最佳实践
本文主要探讨了API接口规范和API接口安全规范的重要性,特别是以Restful API作为基础,为设计高效、易于理解和使用的接口提供了指导原则。以下是关键知识点的详细阐述: 1. **接口规范的意义**: - 良好的接口规范...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT小村

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值