开放平台认证方案

最新推荐文章于 2023-09-28 10:23:34 发布
最新推荐文章于 2023-09-28 10:23:34 发布
阅读量591 收藏
点赞数
分类专栏: 后端那些事儿 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28119741/article/details/127918745
版权

背景

本次的直接起因是第三方那边接入系统后端引起的,第三方方觉得认证要过期比较麻烦,而且要用账号密码去调登录接口去刷token,设计不合理。

客观来说:

凭本人使用过其它开放平台来说确实有些不一样。 常见的一些开放平台,有带web的,一般web能看到的接口,在你想进行一些二次开发时调用他们的接口是另外一套接口,web显示的一般会在包一层(github web端直接返回的html)。另外调用他们的接口的认证方式也不是像在web端那样,走传统的账号密码登录的方式。

主观来说:

有没有必要去做,还是要看我们系统的定位,如果想像一些开放平台一样对外提供服务,那么看来是有必要的,如果最终只是内部用,那么是没必要的。这些认证也往往考虑计费模式。另外过期是合理的,可能也只是刷 token的方式有点不合适。

方案一

Token auth

用户输入账号密码校验成功后,服务端返回token,以后客户端就可以用token去调接口,token过期或者永久都可以,看业务。

常见的实践有jwt等

我们目前还是用的sso-token,会2个月过期,过期后需要调用方使用账户密码主动调用sso登录接口去更新token。

优点:

1.不用改动或改动较小

缺点:

1.安全性,后端和前端共有接口及认证方案,客户能直接登陆我们的pegasusu配置平台。

方案二

Hmac

一般用户在个人主页申请appid࿰

最低0.47元/天 解锁文章
小卒曹阿瞒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
开放平台API安全设计方案
自在轩恒
06-09 4310
一、解决问题: 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 二、问题分析与处理 1.身份合法性保证: clientid+secretkey方案 参数名 是否必须 clientid 开发者标识/应用标识 secretkey 用于接口加密 为开发者分配clientid(开发者标识,确保唯一)和secretkey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 2.请求被篡改防护:预防请求被中途篡改的隐患 参数签名方案 按照请求参数名的字母升序排列
人工智能开放平台物理架构1
08-08
人工智能开放平台物理架构1 人工智能开放平台物理架构1是指实现高安全标准的数据存储和访问控制系统。该系统需要满足三个高安全重点:数据不丢失、高可靠的数据存储;数据不泄露,保证数据只有授权人员能访问;数据...
开放API平台认证
mengml_smile的博客
05-11 219
开放API平台认证 app_id 通常情况下指的是一个企业或个人的账号 app_key 统一的app_id,针对同一个业务要划分不同的功能权限(标记要申请的权限有哪些) app_secret 同一功能下读和写的权限要分开提供 标记是否真的拥有这个权限 通常app_key和app_secret成对出现 ...
OAuth2.0 开放平台认证授权开发套件 Authmore-Framework 1.0 发布
weixin_33980459的博客
06-04 189
简介 | Intro 基于 OAuth2.0 协议的开放平台认证授权开发套件, 包含授权服务和开放平台 Docker 镜像,基于 Spring Boot Starter 的资源服务工具包和客户端(第三方应用)工具包 优点 | Advantages 简洁:专注核心功能 —— 社会化网络下的跨应用认证授权,基于 Spring Boot Starter 的工具包,为开发者提供最简洁的配置。 快速:Au...
淘宝开放平台-Oauth认证方式
axhqtbypkqv063426的博客
08-06 363
最近因为工作需要 一直在研究淘宝的api。 之前虽然也做过新浪的开放平台 但是一直只是百度封装好的源码。然后调用 实现 具体原理不甚了解。 (注.本人比较小白。此文只是用来说明授权的流程。所以写的不好、请勿拍砖) 先说下需求吧。 因为是一个web项目 所以应该需要采用的Server-side flow方式。但是在网上搜索好久 大多数的文章要么是to...
OAuth2.0 开放认证和授权/互联网标准协议
weixin_30836759的博客
05-23 214
OAuth2.0 目录 展开展开 前言 OAuth 1.0已经在IETF尘埃落定,编号是RFC5849 这也标志着OAuth已经正式成为互联网标准协议。 OAuth 2.0早已经开始讨论和建立的草案。OAuth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth(开放授权)是一个...
互联网开放平台方案介绍.pptx
10-14
互联网开放平台方案是一种综合性的IT服务模式,旨在为开发者和合作伙伴提供安全、高效的应用和服务接口。这个方案的核心目标是促进合作,通过开放平台实现数据共享和功能集成。以下是对该方案的详细解析: 1. **...
开放智慧协同平台解决方案.pdf
10-17
开放智慧协同平台解决方案是针对现代组织管理和协同办公需求设计的一种先进技术框架,旨在通过创新技术和标准化规范,提升政务和企业管理的效率与效能。该方案由支撑平台、开放协同互联平台和应用功能建设方案三大...
开放智慧协同平台解决方案.pptx
10-17
开放智慧协同平台解决方案是针对现代组织管理和业务协同的高级别技术框架,旨在通过创新技术和标准规范,推动政务和企业组织的高效运作。该平台的核心设计理念是开放性、智慧化和协同互联,旨在打破信息孤岛,实现跨...
企业统一用户认证平台方案.pptx
10-13
企业统一用户认证平台方案是针对现代企业中普遍存在的IT系统分散、账号管理复杂、权限控制不集中等问题而提出的一种高效解决方案。该方案的核心目标是实现“四A”管理:账号(Account)管理、认证(Authentication)...
开放平台接口签名认证的实践
weixin_42040639的博客
12-11 381
当系统接口最为开放接口提供给第三方调用时,接口的安全问题必须考虑,请求身份是否合法?请求是否被篡改?请求是否唯一? 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(秘钥,用于接口加密),在项目中AccessKey和SecretKey可以做类似用户管理的完备管理机制,成为系统功能的一部分。 防止篡改 为防止请求在发送过程中可能会被拦截,修改参数之后再将请求发往服务器,或者在请求发送的过程中参数出现缺失,可以对参数进行签名,生成Sign(Sign生成的方式有多重多样,根据自
分布式认证需求-开放认证体系
Leon_Jinhai_Sun的博客
01-10 197
考虑分布式系统开放性的特点,UAA认证服务不仅服务于平台自身,并且对第三方系统也要提供认证,平台应提供扩展和开放的认证机制,以开放API的方式供第三方应用接入,一方应用(内部 系统服务)和三方应用(第三方应用)均采用统一机制接入。 下图是第三方的应用接入闪聚支付平台结构图: 1、第三方应用请求UAA认证服务请求认证认证通过获取Token。 2、第三方应用携带Token访问API代理(专门针对第三方应用接入开发的微服务)。 3、API代理访问平台微服务向第三方应用返回业务数据。 ...
开放API接口签名验证方式(开放平台+APP)
DDDDeng_的博客
07-22 1561
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA; 在stringA最后拼接上Se
第三方 API 接口安全加密方法和认证
州仔
07-03 584
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
如何实现接口认证的设计(架构设计)
最新发布
Scalzdp的专栏
09-28 389
接口认证是保障API安全和数据可靠性的重要手段,有多种认证方式可供选择,需要根据实际需求和安全风险设计合适的方案,并定期维护和升级。
第三方API对接如何设计接口认证
zlt2000的博客
07-02 1566
一、前言 在与第三方系统做接口对接时,往往需要考虑接口的安全性问题,本文主要分享几个常见的系统之间做接口对接时的认证方案。   二、认证方案 例如订单下单后通过 延时任务 对接 物流系统 这种 异步 的场景,都是属于系统与系统之间的相互交互,不存在用户操作;所以认证时需要的不是用户凭证而是系统凭证,通常包括 app_id 与 app_secrect。 app_id与app_secrect由接口提供方提供 2.1. Baic认证 这是一种较为简单的认证方式,客户端通过明文(Base64编码格式.
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1707
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
对外开放的接口验证方式
YHJ
05-19 1619
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA; 在stringA最
淘宝开放平台认证授权机制
lzf的博客
11-13 1610
在所有的开放平台中,安全的问题都是平台和开发者要一起面对的一个难题,尤其是对于淘宝开放平台(TaoBao Open Platform,简称TOP)这样一个电子商务的开放平台来说,保护用户的隐私数据安全和平台本身的安全显得更为重要。同时考虑到平台的开放性,以及淘宝网这种上亿级别的访问量,这就给TOP 的安全机制带来了更大的挑战。 TOP 机制主要包含两个方面,一是业务的安全,包括认证、授权等;二是系统的安全,包含流量控制、系统监控等,这里主要讨论的是前者,业务的安全,也就是对于应用的认证和授权。 要让第三
中国电信物联网开放平台:设备管理子系统详解及功能概览
中国电信物联网开放平台的设备管理...通过这些功能,中国电信物联网开放平台的设备管理子系统为物联网设备的部署、监控、优化和安全提供了强大且灵活的解决方案,帮助企业更好地利用物联网技术提升业务效率和服务质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小卒曹阿瞒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值