API的安全性
在项目开发过程中,通常我们需要提供API接口供移动端、其它应用、第三方等进行远程调用,AIP接口通常也是放在网上的,那么我们的接口安全性成为后端开发关注的重要组成部分。下面做简介的分析:
1.可能存在的风险
面临的攻击或恶意访问【枚举猜测循环验证】【网络爬虫】【网络恶意扫描软件】
2.数据安全性
【数据窃取】用户名密码被盗
通常用户密码需要做加密处理之后,以密文方式通过网络进行传输; 对于客户端访问可采用RSA、DES加密进行签名验签
【数据篡改】数据被截获二次修改
MD5+盐(对关键参数进行Base64编码),对比加密串防篡改(可应用于支付,防止支付金额被篡改)
【数据泄露】
采用Token授权,并设置令牌有效期,监听IP访问次数,设置黑白名单;或限制异常IP的请求次数