api接口加密_如何设计一个牛逼的API接口

VIP文章 已于 2022-07-13 11:54:49 修改
阅读量673 收藏 2
点赞数
分类专栏: API 电商 文章标签: 服务器 运维
于 2022-07-13 11:48:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ocean_hhn/article/details/125759763
版权

在日常开发中,总会接触到各种接日。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使甩安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三友平台的业务接口应当如何设计?我们应该考虑哪些问题?

主要从以上三个方面来设计一个安全的API接口。


一、安全性问题


安全性问题是一个接口必须要保证的规范。如果接口保证不了安全性,那么你的接口相当于直接暴露在公共环境中任人蹂躏。

1.1 调用接口的先决条件-token

获取token一般会涉及到几个参数appid,appkey,timestamp,nonce,sign。我们通过以上几个参数来获取调用系统的凭证。

appid和appkey可以直接通过平台线上申请,也可以线下直接颁发。appid是全局唯一的,每个appid将对应一个客户,appkey需要高度保密。

timestamp是时间戳,使用系统当前的unix时间戳。时间戳的的就是为了减轻DOS攻击。防止请求被拦截后一直尝试请求接口。服务器端设置时间戳阀值,如果请求时间戳和服务器时间超过阈值,则响应失败。

nonce是随机值。随机值主要是为了增加sign的多变性,也可以保护接口的幂等性,相邻的两次请求nonce不允许重复,如果重复则认为是重复提交,响应失败。

sign是参数签名,将appkey,timestamp,nonce拼接起来进行md5加密(当然使用其他方式进行不可逆加密也

最低0.47元/天 解锁文章
万邦-Hining
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API接口开发 dome源码 加密 鉴权验证
11-29
开发安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)4种加密方式的Dome
Dao接口返回数组_解决API接口开发安全性的四种方案
weixin_39857480的博客
11-20 295
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口服务器端直接根据user_id来...
API接口加密,解决自动化中登录问题,2024年最新2024软件测试开发面试解答之设计模式篇
最新发布
2401_84264536的博客
04-17 800
现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大。如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受。mode=AES.MODE_EAX #EAX加密模式。分享他们的经验,还会分享很多直播讲座和技术沙龙。以下加密信息,测试端和接口端必须一致。qq群号:110685036。6.编码结果转字符串。5.解密结果转字符串。
API接口安全加密,防止接口被黑客攻击
G171104的博客
06-21 1316
API密钥认证:API密钥认证是指在每个请求中加入一个API密钥,服务器端会验证该密钥是否有效。数字签名认证:数字签名认证是一种对数据进行加密和认证的方式,接口请求方对请求数据进行加密后发送给服务器服务器端可以根据该加密数据进行认证。OAuth认证:OAuth认证可以让第三方应用程序通过API接口访问用户数据,但是需要用户授权,这可以保护用户数据的安全。API接口安全加密的主要目的是为了防止黑客攻击,保护敏感数据不被泄露。综合使用以上安全加密方式可以有效保护API接口的安全,避免被黑客攻击。
接口测试框架实战 | 流程封装与基于加密接口的测试用例设计
weixin_46635091的博客
09-03 292
本文节选自霍格沃兹《测试开发实战进阶》课程教学内容。 接口测试仅仅掌握 Requests 或者其他一些功能强大的库的用法,是远远不够的,还需要具备能根据公司的业务流程以及需求去定制化一个接口自动化测试框架的能力。所以,接下来,我们主要介绍下接口测试用例分析以及通用的流程封装是如何完成的。 接口测试用例分析 首先在做用例分析之前,可以通过追查公司一年来所有的故障原因,定位问题起因,或者通过与 CTO、产品经理、研发、运维、测试调查,得到质量痛点,还可以分析业务架构、流程调用,以及监控系统了解到业务的使用..
Api接口加密策略
weixin_33877885的博客
12-19 2931
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
asp.net mvc webapi 实用的接口加密方法示例
10-19
本篇文章主要介绍了asp.net mvc webapi 实用的接口加密方法示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
如何设计一个安全对外的API接口?DES RSA加密算法代码
08-27
DES RSA加密算法代码
Aes-javA.rar_AES_api接口aes
09-23
ava API封装的有各种加密算法的,此源码只供交流AES密码算法的精妙及其程序实现
保证接口数据安全的10种方案
m0_71777195的博客
07-05 1075
我们日常开发中,如何保证接口数据的安全性呢?个人觉得,接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数据安全的10个方案。正在上传…重新上传取消我们都知道,数据在网络传输过程中,很容易被抓包。如果使用的是http协议,因为它是明文传输的,用户的数据就很容易被别人获取。所以需要对数据加密。常见的实现方式,就是对关键字段加密。比如,你一个登录的接口,你可以对密码加密。一般用什么加密算法呢?简单
api接口加密_解决API接口开发安全性的四种方案
weixin_39677419的博客
11-22 678
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口服务器端直接根据user_id来...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
ApiSecret移动端和服务器Api加密演示
07-04
移动端接口安全流程: 获取token步骤: * 1.拿到从后台返回的AES加密后的token * 2.根据约定秘钥进行解密,并把token保存下来 AES秘钥由移动端和后台商议决定 后台验证步骤: * 1.取出timestamp 验证是否是过期请求,过期则不处理 * 2.通过userId和token关系表查到token 用token替换sign * 3.对新生成的token进行MD5,和客户端传入的sign进行比较,一致则处理
淘宝API sign加密
09-09
淘宝API sign加密,淘宝客API SDK,可以直接请求sign接口
api接口加密
qq_41793222的博客
05-07 1122
Https加密过程及作用 https保证传输过程的安全。注意是‘传输过程’,也就是说,客户端请求服务器的过程中,请求被中间人拦截,中间人拿到的是被加密过后的数据,无法解密的。 加密的过程: 这里涉及两个概念。 1.对称加密 对称加密,双方商定一个密码并同时持有,该密码可对数据进行加密解密。比较典型的加密算法:AES。 2.非对称加密 RSA比较...
api接口数据加密方案一则
yef的博客
02-27 6115
背景说明   Api在传输过程中可能被窃听,某些情况下需要对api进行加密。 当然可以使用https 本文介绍另一种加密方式   解决方案 需要联合使用对称加密AES与非对称加密RSA 每次调用客户端随机产生一个aes密码,并把调用明文加密成调用密文,然后将aes密码用rsa公玥加密成密码密文后连同调用调用密文一起传给后端,后端使用rsa私玥对密码密文进行解密aes密码,然后aes...
api 接口加密php,API接口加密方法 | 码农网
weixin_33816685的博客
03-23 857
为了防止提交到接口的明文泄密,可以对提交到接口的数据加密,可以用AES加密算法。微信公众平台官方API接口就是采用此算法。加密方法:所有提交过来的数据都使用 AES加密算法+B ase64算法加密:1.AES加密参数:加密模式:AES-128-ECB ( 可用更安全的aes-128-cbc-微信公众平台在用))向量iv:空 (aes-128-cbc时需要)密钥Key:“12345...
API接口加密策略
qq_35043925的博客
09-15 535
API接口加密策略 接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨...
springboot api接口加密
03-16
Spring Boot API接口加密是指在传输过程中对API接口进行加密,以保护数据的安全性和隐私性。常用的加密方式包括对称加密和非对称加密。对称加密是指使用相同的密钥对数据进行加密和解密,而非对称加密则是使用公钥和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值