开放API设计安全考虑

最新推荐文章于 2024-06-13 14:25:35 发布
最新推荐文章于 2024-06-13 14:25:35 发布
阅读量317 收藏
点赞数
分类专栏: 开放API设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaomingwu/article/details/85412339
版权

1.  加密敏感数据保证安全,非对称算法RSA和对称算法DES/SM4等;

2. 摘要算法MD5防止篡改,算法中增加盐值(双方约定的一个秘密值),增加服务器时间值,用于判断调用提交时间;

3. 采用token的方式校验是否已经登录,一个是判断token是否存在,二是token是否过期;

4. 接口设计需要具有幂等性,相同的调用请求,需要能够鉴别出来,不能做重复数据更新处理;

5. getXXXById接口中的id避免采用自增id,避免被自增调用;

6. 增加ip黑白名单,提高安全性,在黑名单中的ip,直接丢弃请求,不予响应,在白名单中的请求,正常处理;

7. 提高日志的完整性;

8. 接口调试工具,postman;

程序猿20
关注
专栏目录
独步IT界,开放API接口文档新标杆!
凛鼕将至的博客
01-23 1209
API接口是指应用程序编程接口(Application Programming Interface),是一组定义和规范了不同软件组件之间交互的规则和协议。通过API接口,不同的软件模块可以相互调用和交换数据,实现功能的协同工作。API接口可以是一组函数、方法、类等形式的代码集合,也可以是一套HTTP协议规范,允许通过HTTP请求和响应的方式进行数据交互。API接口常用于提供对外开放的服务接口,使得其他开发人员或者系统可以通过API接口访问和使用相关功能或数据。开放API接口是为了实现功能的扩展和提供更多的服
接口安全考虑
weixin_38923162的博客
03-09 5443
接口安全
设计api考虑因素以及基本解决方法
uj
04-22 409
设计优美的 Web API 不用过分拘泥于 REST 一词。 最大限度地减少 API 版本的更新频率,注意向下兼容性。 在 URI 中嵌入 API 版本的主版本编号。 停止提供 API 服务时不能立刻终止,至少需要继续公开 6 个月。 最大程度地利用 HTTP 协议规范,最小程度地使用私有规范。 使用合适的状态码。 返回恰当的、尽可能通用的媒体类型。 返回便于客户...
api接口安全设计
清风朗月的博客
02-28 1089
将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。这就是为什么要求时间戳的超时时间要设定为跟时间戳的超时时间一致。
如何保证API接口数据安全
油墨香^-^的博客
01-05 906
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;也对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。那我们怎么去解决这些问题呢?接口签名。
设计一个安全的登录接口需要考虑哪些?
程序员成长指北
07-26 426
点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群前言大家学写程序时,第一行代码都是hello world。但是当你开始学习WEB后台技术时,很多人的第一个功能就是写的登录...
开放API安全防护的七大原则
热门推荐
架构精进之路
01-19 2万+
我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。 在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与...
开放平台的Open API设计
07-31
一个好的Open API设计应该考虑到与其他平台的兼容性,使得开发者可以轻松地将应用从一个平台迁移到另一个。这通常需要API版本控制,以便在不破坏现有应用的情况下引入新的功能或改进。平台应该提供详细的版本迁移...
云海IaaS开放API设计思路-v0.711
08-08
云海IaaS的开放API设计考虑了灵活性、扩展性和安全性,允许用户和开发者通过编程方式轻松管理云资源,实现自动化部署和运维。通过这些API,用户可以创建、启动、停止、重启实例,管理网络配置,调整资源规模,以及...
浅谈API安全
2301_78540048的博客
06-24 1138
API安全
postman:处理接口加解密 AES SM3 SM4
花测试
04-20 1万+
AES加解密、国密加解密,,,提供思路,解决你的加解密难题
Postman 请求自动 SM2/SM4 加解密
最新发布
索少东家的博客
06-13 766
代码仅为演示,请根据自己的业务需求编写代码。
接口规范_接口测试中的文档规范
weixin_34940781的博客
12-29 82
背景:我们在企业做接口测试时,如果不清楚前后端的定义是怎么样的,返回类型是怎么样的,每个字段代表的意义是怎么样,那么开展接口测试的效率和质量就会很差,所以我们迫切需要有一个规范化的文档,这样会更加便捷和高效!接口名称:【评论列表接口】https://api.weibo.com/2/comments/by_me.json1.接口说明获前登录用户所发出的评论列表2.接口应用3.变更记录4.支持格式JS...
量化交易——api签名加盐之md5加密
ruoruodetouzizhe的博客
09-28 727
MD5加密 import hmac import hashlib ekey = 'samplekey' to_enc = 'sampledata' ekey = ekey.encode(encoding='UTF8') to_enc = to_enc.encode(encoding='UTF8') print(ekey) enc_res = hmac.new(ekey, to_enc, dig...
什么是md5盐值
数据库天地
10-22 226
简单说就是为了使相同的密码拥有不同的hash值的一种手段 就是盐化 MD5自身是不可逆的 但是目前网路上有很多数据库支持反查询 如果用户密码数据库不小心被泄露 黑客就可以通过反查询方式获得用户密码 或者对于数据库中出现频率较高的hash码(即很多人使用的)进行暴力破解(因为它通常都是弱口令) 盐值就是在密码hash过程中添加的额外的随机值 比如我的id是癫ω倒④ゞ 密码是123456 存在数据...
盐值加密概念
菩提本无树 明镜亦非台 本来无一物 何处惹尘埃
01-12 1544
https://www.cnblogs.com/jilodream/archive/2016/01/06/5104207.html http://blog.csdn.net/qq_31080089/article/details/53715910
盐值加密介绍
AndyLizh的专栏
06-03 1万+
简单说就是为了使相同的密码拥有不同的hash值的一种手段 就是盐化 MD5自身是不可逆的 但是目前网路上有很多数据库支持反查询 如果用户密码数据库不小心被泄露 黑客就可以通过反查询方式获得用户密码 或者对于数据库中出现频率较高的hash码(即很多人使用的)进行暴力破解(因为它通常都是弱口令) 盐值就是在密码hash过程中添加的额外的随机值 比如我的id是癫ω倒④ゞ 密码是123456 存在数据
【信息安全】什么是盐值,他有什么作用?
青春不言败
11-26 8107
原文地址
云海IaaS开放API设计与调用流程
云海IaaS的开放API设计充分考虑了易用性、扩展性和安全性。通过标准化的请求结构和安全机制,确保了与云服务的无缝对接,同时保证了数据传输的安全。这种设计思路对于开发者来说,意味着可以方便地构建与云海IaaS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值