API接口设计

于 2022-12-18 12:27:22 发布
阅读量301 收藏 1
点赞数
分类专栏: java 文章标签: tomcat java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56344192/article/details/128360400
版权

对第三方提供服务,我们的api接口应该怎么设计呢?

一、防重复提交,防篡改设计

参数 描述
ak注册应用时颁发的ak,每个接入应用唯一
signatureMethod固定为HmacSHA256
timestamp     接口提交时间,精确到毫秒。
nonce防重复提交标识,每次接口唯一
signature签名值

签名计算参考:https://blog.csdn.net/js_sky/article/details/49024959


import org.apache.tomcat.util.codec.binary.Base64;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

public class SignUtil {
    public static String sign(String message, String secret) throws Exception {
        Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
        sha256_HMAC.init(secret_key);
        String hash = Base64.encodeBase64String(sha256_HMAC.doFinal(message.getBytes()));
        System.out.println(hash);
        return hash;

    }
}

客户端提交:

secret可以替换为应用sk;

message=requestBody里内容+timestamp+nonce

sigature=SignUtil.sign(message,sk);

服务端验证:

1、验证参数合法性,signatureMethod值是否正确;

2、timestamp是否超时

3、nonce是否已被使用过;

4、根据ak查询到sk,然后根据同样的方式计算签名,判定签名是否正确;

借助该种方式,服务端还能确定客户端身份,因为sk是客户端独有的。

二、安全性

1、传输层安全

借助https协议,可以实现传输层安全。

2、应用层安全

方式一:静态密钥

1、应用注册时服务方给应用颁发ak/sk ,并颁发对称加密密钥cek;

后续客户端请求发起时cek对body数据加密后传输,服务端使用cek解密后再做后续业务;

这种方式密钥是静态的,无法轮换。

方式二:动态密钥

注册是应用端生成一对公私钥,然后将公钥提供给服务方;

1、申请加密密钥,使用第一章节中的接口提交方式,来申请加密密钥。

2、服务端验证成功后生成加密密钥CEK,使用应用的公钥对cek进行加密,返回返给客户端;

3、客户端接收到结果后,使用私钥解密,解密得到CEK

4、后续交互使用cek进行加密后进行传输。

耕者有其甜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何设计API接口
2301_79965602的博客
02-27 1411
RESTful风格的API 固然很好很规范,但大多数互联网公司并没有按照或者完全按照其规则来设计,因为REST是一种风格,而不是一种约束或规则,过于理想的RESTful API 会付出太多的成本。
API接口:原理、设计与应用
最新发布
wbryze的博客
01-15 440
API(应用程序编程接口)作为不同应用程序之间的桥梁,发挥着越来越重要的作用。本文将详细介绍API接口的原理、设计与应用,并通过部分代码示例帮助读者更好地理解。上述代码实现了一个简单的用户管理API接口,包括获取用户列表和创建新用户的功能。通过定义路由和处理函数,我们可以轻松地构建各种功能的API接口。在实际应用中,我们还需要考虑安全性、错误处理、性能优化等方面的问题。API接口是一种定义了不同应用程序之间交互方式的规范。通过API接口,应用程序可以实现数据交换、功能调用等功能。五、代码示例(部分)
如何设计一个API接口
qq_35821588的博客
10-07 4776
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题? 主要从以上三个方面来设计一个安全的API接口。 一 安全性问题 安全性问题是一个接口必须要保证的规范。如果接口保证不了安全性,那么你的接口相当于直接暴露在公网环境中任人蹂躏。 1.1 调用接口的先决条件-token 获取token一般会涉及到几个参
如何设计一个牛逼的API接口
weixin_44747933的博客
09-22 715
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章...
API接口设计规范
做一个乐于分享的程序员
08-10 1549
API接口设计规范
API接口设计规范.docx
02-13
API 接口设计规范 API 接口设计规范是一组标准化的规则和约定,旨在规范 API 接口开发和使用。该规范涵盖了 API 接口设计、实现、测试和维护等方面,旨在提高 API 接口的质量、可维护性和可扩展性。 API 接口...
api接口设计.rar
10-30
API接口设计是一项至关重要的任务,因为它直接影响到系统的可扩展性、灵活性和维护性。本资料"api接口设计.rar"可能包含关于如何有效地设计和实现API的详细指南。 首先,API接口设计的基础是明确接口的功能和目标。...
API接口设计项目说明指导书.docx
11-24
"API接口设计项目说明指导书" 本文档提供了API接口设计项目的指导书,涵盖了项目的编写目标、背景、定义、参考资料、综述、统一输入输出参数、用户接口、优惠券接口等方面的内容。 一、编写目标 本指导书的编写...
API 接口 设计文档 模板
05-28
API 接口 设计文档 模板,保存日后使用。
接口设计
03-02 2244
接口设计需要考虑哪些方面 接口的命名。 请求参数。 支持的协议。 TPS、并发数、响应时长。 数据存储。DB选型、缓存选型。 是否需要依赖于第三方。 接口是否拆分。 接口是否需要幂等。 防刷。 接口限流、降级。 负载均衡器支持。...
设计一个高质量的 API 接口
伤心的辣条
05-07 237
你是否也感同身受? 对接XX业务时,XX业务具备的功能和API全靠跑业务负责人那反复逐个询问、确认。用哪个API;怎么用;有没有限制;等等 各个业务间,甚至同一业务内,API风格不统一。 API命名: 按自然语义全翻译的;按属性角度定义的;按操作角度定义的;动宾、非动宾的;复数、非复数的;等等 API入参: 带Map的;相同语义字段名称不一样; API出参: 有包装Resoponse的;直接返回结果数据的;相同数据,返回格式和字段名称有差别的; 错误信息: 直接返回中文提示的;返回提示信息编码的;返回异常类
java数字签名实现简单的动态秘钥
大道至简,悟在天成。
05-21 3587
//通过用户名+时间+MD5生成动态秘钥 public String getSecretKey(ZcUserbase user){ String secretKey = UUID.randomUUID().toString(); // 密钥 Timestamp outDate = new Timestamp(System.currentTimeMillis() +
api接口设计
jasonhui512的博客
11-12 1万+
写过不少接口,不过一直没有去总结,网上搜了一下,大同小异,此文根据以下几个链接整理修改: https://segmentfault.com/a/1190000004051246 http://blog.sqrtthree.com/2015/09/08/api/ http://keeganlee.me/post/architecture/20160107 https://www.hutuse
API First——微服务架构下API接口驱动设计开发
不积跬步无以至千里
07-30 1386
API接口契约、不同角色下的API设计开发责任
Web API应用架构设计分析(2)
weixin_33853794的博客
07-04 1123
在上篇随笔《Web API应用架构设计分析(1)》,我对Web API的各种应用架构进行了概括性的分析和设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机和平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用ASP.NET Web API设计Web API层以及相关的调用处理。 1、Web API接口访问分类 Web API接口的...
RESTful API接口设计标准及规范;
热门推荐
时光偏执的博客
01-12 28万+
RESTful发展背景及简介 网络应用程序,分为前端和后端两个部分。当前的发展趋势,就是前端设备层出不穷(手机、平板、桌面电脑、其他专用设备…)。因此,必须有一种统一的机制,方便不同的前端设备与后端进行通信。这导致API构架的流行,甚至出现"APIFirst"的设计思想。RESTful API是目前比较成熟的一套互联网应用程序的API设计理论。 REST(Representational Stat...
JAVA接口设计篇:这些都不知道,别说你懂接口设计
沛哥儿的专栏
04-25 5663
1、接口清晰,调用端看得懂,后面自己人修改也不麻烦; 2、外面的坏人很多,最好的办法是自己保护好自己,也就是说鲁棒性要杠杠的; 3、捡芝麻,也不要丢西瓜。修改接口不是重建,而是糊裱匠,顶级的糊裱匠,那是李合肥那种级别的,劝你就别想了,一般人也做不来。
restful api 接口设计规范
11-30
设计原则包括客户端-服务器、无状态、可缓存、统一接口等。具体来说,RESTful API设计应该遵循以下几个方面: 1. URI 设计:URI 应该清晰、简洁、易于理解,且应该使用名词而非动词来表示资源。 2. HTTP 动词...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值