在调用一个接口的时候,对其安全设计进行的总结:
- 双向https:内容加密 建立一个信息安全通道,来保证数据传输的安全;身份验证 确认网站的真实性;数据完整性 防止内容被第三方冒充或者篡改。
- appId+appSecret,相当于程序的用户名密码,这两个值不对应,请求是会被拒绝的。并且appSecret是不明文传递的,只有C/S双方知道,在服务器端,这些参数决定了你有什么权限。
- AES加密:通过对称加密算法对传输的内容进行加密,你要获取或修改内容,首先要把密文解出来。而且这个aes密码是每次请求动态生成的。通过rsa非对称算法加密后传递。调用方通过公钥加密,服务器通过私钥解密。破解的话,要知道加密模式,填充模式,公钥,偏移向量等信息。
- 加签:通过加签,防止数据被篡改。修改后的数据,签名值是不一样的。
- 首先加签的算法你是不知道。虽然常用的就几种,但是你也的猜
- 你是不知道那些内容是要加签的,一个接口可能几十个参数,并不是所有参数都需要加签,双方约定好。比如:这个是(加密后的message+appSecret+时间戳+serviceId+channel),这个只有双方知道,并且有些加签的内容比如(appSecret)请求里面是不包含的,重新加签的可能性为很低。
- 时间戳、requestID,可以防止重放。比如。我啥都不改。把请求原封不动的多次发送。不行,时间戳和requestID一致,我直接可以忽略掉。
- IP白名单:不在白名单里面的IP发起的请求,不响应。
扫一扫
280
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
