在前后端分离的开发模式中,接口安全成为重要议题。通过分析接口被轻易抓取和伪造的风险,文章探讨了如何确保API接口的安全。案例提到地图大厂之间的数据抓取,引出如何验证接口请求和拦截非法请求的问题。解决方案是采用接口签名机制,以防止数据被伪造和接口被恶意重复调用。
背景
前后端分离的开发方式,已经成为当前主流开发方式。我们以接口为标准来进行推动,定义好接口,前后端并行开发,前端按照既定好的yapi(YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台)开发,后端直接开发功能,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP、webapp、PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。
网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;了解爬虫工具的工程师,要抓你的数据简直轻而易举。或者说再简单不过的,打开Google浏览器的开发者工具(ctrl+shift+i),可以很清楚的看到接口的网络请求。
那我们怎么去解决这些问题呢?
案例
大家知道高德地图和百度地图均为国内的地图大厂,两家企业相互爬数据那是家常便饭,比如高德地图数据,图中标注的这些森林公园位置是我19年添加到高德地图的:
但同年百度地图数据很快就更新了,见下图中打圈圈的地点:
所以企业相互爬点数据目前很常见,这
最低0.47元/天 解锁文章
1440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
