http请求中web、app接口身份验证

最新推荐文章于 2024-06-07 13:25:01 发布
最新推荐文章于 2024-06-07 13:25:01 发布
阅读量4k 收藏 2
点赞数
分类专栏: 随笔 文章标签: 安全 密码 web 身份验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34720759/article/details/78886961
版权

前言

其实不仅webapi,在web中的身份验证也是一个问题。两者在请求时都通过http请求,有相似之处。
对于http的身份验证方式有两个要点,必须传输敏感信息但是又要保证安全性

正文

web

对于web主要是将验证信息保存在cookie里面,然后取出cookies来验证,对于cookei的安全性,可以加密,可以分割多个cookie,后台取出这些cookie进行验证,还可以设置HttpOnly一定程度上防止窃取。

api

cookie只用于web网站,对于移动端接口,因为没cookie,只能另寻他径。其中有一种方法是将敏感信息放在header请求头里面。
1.使用token
每次都传输明文密码是愚蠢的。首先我们需要让用户在第一次验证时传输明文密码,然后返回给用于一个滑动过期的token,接下来的请求用户将带着token进行请求。这个滑动过期的token一定程度上保证了信息安全性。
2.把信息放在header请求头里面。
在http请求头中构造一个key值Authentication,把敏感信当作value值。不放在消息体里面。
3.使用加密
Basic Auth
Basic Auth使用base64编码把username和password加密后放入请求头,不安全,但是开发和调试简单。如账号181密码123,生成的header请求头的Authorization字段:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  等待临界
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
软件接口与协议(appWEB端)

				
			

			

				

					weixin_49578067的博客
				

				

					12-02
					
					1383
					
				

			

		

		

			
				
接口和协议

1. 软件开发的两种结构

1.1Cs(Client/Server):客户端----服务器结构。



C/S结构在技术上很成熟,它的主要特点是交互性强、具有安全的存取模式、网络通信量低、响应速度快、利于处理大量数据。

CS的优缺点

能充分发挥客户端PC的处理能力,很多工作可以在客户端处理后再提交给服务器,所以CS客户端响应速度快。

操作界面漂亮、形式多样,可以充分满足客户自身的个性化要求。 

C/S结构的管理信息系统具有较强的事务处理能力,能实现复杂的业务流程。

安全性能可...

			
		

	



                

              
                



	

		

			

				
					
如何进行安全可靠的API身份验证

				
			

			

				

					小新的博客
				

				

					03-28
					
					2117
					
				

			

		

		

			
				
在开发安全的 REST API 时,身份验证是必不可少的。你可以将你的应用程序想象成一个聚会,那么身份验证就像一扇门,决定哪些客人可以进入——或者更准确地说,哪些请求可以进出。接下来我将介绍四种常用的身份验证方法,包括API密钥、OAuth 2.0、HTTP身份验证方案和JWT身份验证。我们将逐一深入探讨这些技术,以确保我们的虚拟“派对”运行时具有足够的安全性。

			
		

	



                


  
              

                


	

		

			

				
					
开放API接口签名验证webapp

				
			

			

				

					weixin_41249041的博客
				

				

					09-13
					
					851
					
				

			

		

		

			
				
接口安全问题

请求身份是否合法
	请求参数是否被篡改
	请求是否唯一
	对于敏感的api接口,需使用https协议
AccessKey&SecretKey (开放平台)

请求身份:


为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。


防止篡改:


参数签名

按照请求参数名的字母升序排列非空请求参数(包含AccessKey)(ASCII码排序),使用URL键值对的格式(即key1=value1&...

			
		

	





	

		

			

				
					
HTTP请求身份验证与授权

					
最新发布

				
			

			

				

					weixin_73725158的博客
				

				

					06-07
					
					221
					
				

			

		

		

			
				
身份验证验证用户身份的过程,通常涉及到用户提供的凭证(如用户名和密码)与存储在系统的信息进行比较。JWT将用户信息编码成一个紧凑的、URL安全的字符串,并将其作为令牌发送给客户端。OAuth是一个开放的授权框架,它允许第三方应用程序在用户的许可下访问其存储在另一个服务提供者上的信息。OAuth通过令牌(Token)来实现授权,这些令牌可以在用户、客户端和服务提供者之间传递,以证明用户的身份和权限。在Web开发和网络通信HTTP请求身份验证与授权是确保系统安全性和控制用户访问权限的关键环节。

			
		

	



		

			
		



	

		

			

				
					
最新亲测Jmeter代理服务器抓取Web端和APP请求步骤详解(二)

				
			

			

				

					J_____Q的博客
				

				

					07-18
					
					952
					
				

			

		

		

			
				
最近研究Jmeter做解救方面的测试工作,
遇到代理服务器开启后无法抓取到请求的现象,
而且Web页面也加载不出来
网上的博客教程太坑啦,索性自己写一篇

一、 Jmeter 需要的配置

测试计划→添加→线程→线程组
测试计划→添加→监听器→查看结果树
测试计划→添加→非测试元件→HTTP代理服务器
HTTP代理服务器设置项:
1、端口号设置:如6666,不建议设置80/8080等常见端口号
2、目标控制器选择:测试计划>线程组,这样请求就自动填入线程组

二、Web端设置代理
1. Chrome

			
		

	





	

		

			

				
					
网络协议

				
			

			

				

					weixin_57555982的博客
				

				

					12-01
					
					84
					
				

			

		

		

			
				
appweb测试有什么区别?
c/s和b/s 的区别

app有专项测试 :弱网测试,断测试,monkey

共同点:根据需求文档,编写测试用例()
兼容测试:
app手机型号,系统
web游览器 IE/谷歌/火狐/

运行速度:app 大于 web
开发成本:
更新:
安全: 

get/post的区别
1:get获取数据,post提交数据
2:get请求的参数放在url地址栏,post传递参数放在请求,相对来说post更加安全
3:由于受到url长度限制,所以get传递参数是有长度...

			
		

	





	

		

			

				
					
珠联璧合之WAS社区版与HTTP Server

				
			

			

				

					sunwstorm的专栏
				

				

					01-07
					
					2312
					
				

			

		

		

			
				
作者: ITPUB 唐莹


原链接: http://tech.it168.com/a2009/0827/670/000000670013_all.shtml

【IT168 专稿】    IBM WebSphere应用服务器社区版(WebSphere Application Server Community Edition)是基于Apache基金会开源项目Geronimo构建的轻量级J

			
		

	





	

		

			

				
					
web项目与APP项目的区别

				
			

			

				

					qq_41810045的博客
				

				

					08-24
					
					1904
					
				

			

		

		

			
				
2、APP前后端交互的数据格式以Json为主,web前后端交互的数据格式有JSON、HTML、TXT等。2、APPweb前后端都是使用http协议进行交互(注:部分APP使用socket交互)1、APP是C/S结构,web浏览器是B/S结构。1、APPweb使用相同的后端服务器。

			
		

	





	

		

			

				
					
Office Web App安装与接口开发文档

				
			

			

				

					12-01
				

			

		

		

			
				
系统使用access_token进行身份验证,确保只有授权的用户或应用才能访问和修改文件。这一安全机制保证了数据的隐私和安全性。  综上所述,Office Web App的安装与接口开发涉及到多个层面,包括服务器环境的构建、系统...

			
		

	





	

		

			

				
					
.Net WebAPi JWT身份验证

				
			

			

				

					11-07
				

			

		

		

			
				
本文将深入探讨如何在.NET Framework 4.6.2的WebAPI项目实现JWT身份验证。  首先,理解JWT的基础概念。JWT是一个自包含的令牌,由三部分组成:Header、Payload和Signature。Header和Payload被编码为Base64字符串,...

			
		

	





	

		

			

				
					
基于ASP.NET的app接口实例

				
			

			

				

					02-06
				

			

		

		

			
				
可以使用OAuth2、JWT(JSON Web Tokens)或API密钥等方式对API进行身份验证和授权。这可以防止未经授权的访问和数据泄露。  最后,对于API的测试,可以使用Postman这样的工具模拟HTTP请求,或者在项目集成单元测试...

			
		

	





	

		

			

				
					
功能强大的VC访问HTTP网页类

				
			

			

				

					01-14
				

			

		

		

			
				
功能强大的VC访问HTTP类。
实现了HTTP的GET、POST和图片下载方法。能自动提取和保存返回的cookies,在发送数据包时能自动添加保存好的cookies。能自动识别网站的编码,在接收数据后,自动将编码转换。在发送数据时,自动转换为网站需要的编码。
使用此类,能方便地开发HTTP客户端模拟工具。

			
		

	





	

		

			

				
					
Asp.Net Core基于Session的身份验证的实现

				
			

			

				

					10-18
				

			

		

		

			
				
在Asp.Net Core,基于Session的身份验证是一种传统的身份验证机制,尽管在Asp.Net Core推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...

			
		

	





	

		

			

				
					
App用户验证方案

				
			

			

				

					10-30
				

			

		

		

			
				
传统Web网站使用Cookie+Session保持用户的登录状态,浏览器都有cookie,每次请求会带回sessionid,这样应用服务器就找出对应的session。业务逻辑里只要看session里有没有用户信息,那么在App后台怎么实现类似的功能...

			
		

	





	

		

			

				
					
java app接口安全认证_app与后台交互之间的几种安全认证机制

				
			

			

				

					weixin_35995377的博客
				

				

					02-13
					
					774
					
				

			

		

		

			
				
1、HTTP简单基本认证方式这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来2、OAuth(OAuth2)这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念,理念是通过tok...

			
		

	





	

		

			

				
					
设计基于HTML5的APP登录功能及安全调用接口的方式(原理篇)

					
热门推荐

				
			

			

				

					技术学习与分享
				

				

					05-06
					
					3万+
					
				

			

		

		

			
				
最近发现群内大伙对用Hbuilder做的APP怎么做登录功能以及维护登录状态非常困惑,而我前一段时间正好稍微研究了一下,所以把我知道的告诉大家,节约大家查找资料的时间。

你是否真的需要登录功能?

把这个问题放在最前面并不是灌水,而是真的见过很多并不需要登录的APP去做了登录功能,或者是并不需要强制登录的APP把登录作为启动页。
用户对你的APP一无所知,你就要求对方注册并登录,除非A

			
		

	





	

		

			

				
					
VC++ HttpRequest

				
			

			

				

					
				

				

					06-20
					
					788
					
				

			

		

		

			
				
#include 
#pragma comment(lib, "Ws2_32.lib")
#pragma comment(lib, "WinInet")
 
 
 
 
 

_bstr_t bstrName = m_userNameEdit->GetEditText();
 _bstr_t bstrPassword = m_passwordEdit->GetEditText(

			
		

	





	

		

			

				
					
前后端分离:SpringBoot + Jwt 登录验证token

				
			

			

				

					_wanshuang_
				

				

					08-27
					
					2万+
					
				

			

		

		

			
				
前后端分离:SpringBoot + Jwt 登录验证token

写在前面:近期在做一个前后台分离的项目 Springboot + vue 登录验证的时候选用了shiro 因为是拿来即用的 所以前后端部署完成后出现很多bug...   种种原因 最后选择了友好又亲切的Jwt  : )

好了 直接上代码了

wait 粗暴上代码之前让我先小小说下这个小模块是什么原理 (毕竟鱼的记忆力)

以我的...

			
		

	





	

		

			

				
					
Appweb:嵌入式安全Web服务器,快速开发与部署解决方案

				
			

			

				

					
				

			

		

		

			
				
其设计特别强调安全性,通过内置的安全特性如SSL/TLS加密、基本和摘要式身份验证、虚拟主机支持,确保数据传输的安全性。  **编译安装** Appweb的安装和配置相对简单,适合在各种平台上运行,包括嵌入式系统。它提供...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值