【分享】对外API接口安全设计

最新推荐文章于 2024-08-16 14:39:44 发布
最新推荐文章于 2024-08-16 14:39:44 发布
阅读量551 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40857096/article/details/115556684
版权

前言

最近公司业务需要对外提供接口,之前没有什么对外接口开发经验所以最近找了很多文章,恶补了一下对外接口开发知识,这篇算是自己开发接口的一个总结吧。下图我设计接口的大体流程

对外接口的安全问题

1.传输过程的安全 请求报文在网络传输过程中可能会被劫持篡改请求参数信息,导致服务端接收错误的参数。所以我们引入签名机制,就好比一个指纹锁,我需要一个正确的指纹才能打开锁,这里的指纹就是签名。接口请求方根据接口双方约定的签名规则对参数进行签名,即使请求参数被篡改,我们通过双方生成的签名进行验签来拒绝这次请求。生成签名的算法可以使用摘要算法最常用的SHA256。     以上所述我们可以保证请求数据由接口请求方到服务器端的数据不会被篡改,那么服务端返回到接口请求方的数据怎么能保证这个数据是由服务端返回的未被篡改过的数据。这里我的做法通过RSA算法生成公私钥,服务器端保存私钥,线下提供公钥给接口请求方,由接口请求方生成一个自己的密钥secretKey,通过RSA算法用公钥对secretKey进行加密,将加密后的字段通过请求头的方式传给服务端,服务端用私钥解密得到secretKey,在服务端返回数据的时候用AES算法进行加密,接口请求方用自己secretKey进行解密来保证返回数据的安全性。

2.到达服务端的安全 请求到达服务端需要判断这个请求方的身份是否合法。以及是否被DoS攻击。判断身份是否合法我们可以利用token的方式,通过下线分配给接口请求方一个id和密码类似于用户登录的用户名和密码来获取token(token可以是一

最低0.47元/天 解锁文章
前端搬砖小助手
关注
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
独步IT界,开放API接口文档新标杆!
凛鼕将至的博客
01-23 1210
API接口是指应用程序编程接口(Application Programming Interface),是一组定义和规范了不同软件组件之间交互的规则和协议。通过API接口,不同的软件模块可以相互调用和交换数据,实现功能的协同工作。API接口可以是一组函数、方法、类等形式的代码集合,也可以是一套HTTP协议规范,允许通过HTTP请求和响应的方式进行数据交互。API接口常用于提供对外开放的服务接口,使得其他开发人员或者系统可以通过API接口访问和使用相关功能或数据。开放API接口是为了实现功能的扩展和提供更多的服
API接口安全设计
记录
10-28 8626
接口安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。...
产品经理必备知识——API接口
最新发布
WBKJ_Noah_的博客
08-16 1651
在古代,我们的传输信息的方式有很多,比如写信、飞鸽传书,以及在战争中使用的烽烟,才有了著名的烽火戏诸侯,但这些方式传输信息的效率终究还是无法满足高速发展的社会需要。如果你选择允许,app就会根据你的当前位置为你提供更加个性化的一些服务,当然也有一些app拿到你的位置信息做出损害用户利益的行为,所以还是需要谨慎授权。首先,看接口文档的场景一般是自身业务模块需要获取外部的数据,但又不想自己重新开发,寻找外部已经实现的有开放能力的供应商(包含企业内部的)。通过发送请求和响应消息的方式实现程序间的通信。
对外API接口设计
weixin_42304845的博客
10-28 5723
对外API接口设计 安全性 1、创建appid,appkey和appsecret ps:appid:应用的唯一标识 appkey:公钥=账号 appsecret:私钥=密码 1、设计一个认证系统,专用于创建第三方接入应用的账号信息,用于生成appid,appkey和appsecret,然后发appkey和appsecret给第三方接入应用,用于做认证 ps:appkey和appsecret成对出现的机制,目的在于首次验证(类似登录场景),用来申请一个token,之后请求数据请求,就直接带token请求服务端
系列学习互联网安全架构第 4 篇 —— API 接口安全设计(使用拦截器)
流放深圳
06-06 516
​​​​​​​
对内 DDD 对外 API 之—对外 API设计理念
lt_xiaodou的博客
09-20 238
对内 DDD,对外 API 是去哪儿网机票目的地事业群业务研发团队2020年 Q3 重点推出的业务重塑架构设计理念。在2020年 Q3,去哪儿网在过往的基础上,在 API 标准化这个领域做出了一些进步,这篇文章主要就是把这方面的经验和大家分享一下。什么是对内 DDD,对外 API 呢,这个是我们业务研发领域内使用 DDD 作为领域设计、微服务设计的理念的实践原则,领域间使用 API 进行交互的一种通俗易懂的说法。
web项目API接口设计与开发总结
dengyilang123的博客
08-31 6608
当前公司自主开发的一个AI图片识别项目,需要对外开放提供接口,领导二话没说把这个任务交给我来做,算是对我的一次考验。虽然以前自己没有设计接口,但是调用过别人写的接口,如百度提供的接口,还有以前在项目中调用别人的接口等等。感觉调用别人的接口还挺方便的,自己来设计的时候,真不知道如何下手。然后去查看学习各种教程,开始进行接口设计与开发工作。 设计原则 鉴于目前的网...
Api接口安全设计
cow031200的博客
09-21 293
接口安全设计 基本的安全设计规则 1. Token验证 客户端验证通过后,生成一个Token,以后每次请求在headder中携带该token值用作验证,token要设置有效时间,过期后要重新获取。 2. 接口签名验证 主要是通过对接口参数加盐值生成md5来验证接口参数是否经过篡改,参数中要包含一个客户端当前时间戳,超时的请求不予处理,所有参数按升序排序。 3. 防止重复提交 收到客户端的请求后,先验证下签名是否在缓存中存在,如果存在证明该请求被重复发送,不存在的时候,先把请求写到缓存中,注意过期时间为签
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
api接口安全设计
hu19930613的博客
04-22 1495
关于接口安全性,有几个重要的点。 1.参数加密 2.时间戳 3.防止重放 这篇只写思路,有经验的同志应该不需要代码,也是我懒(哈哈哈) 1.大部分的加密方式,是将发送的参数进行拼接然后加密。然后服务端同时使用相同的方式加密,看加密字符是否相等。这种的可以参考微信支付文档,有范例。关于使用什么方式加密,RSA,MD5都可以。 但是这种方式,不怀好意的人根本不需要破解你的秘钥...
API安全接口安全设计
xiongxianze的博客
11-11 1168
转载自:API安全接口安全设计_zhou920786312的博客-CSDN博客_接口安全 如何保证外网开放接口安全性。 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上accessTok...
API接口安全设计
sun_daming的博客
10-11 484
接口安全性 主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会篡改和重复调用。   Token授权机制:用户使用用户名和密码登陆,服务器会返回Token,并将Token-UserID以键值对的形式保存在缓存服务器中。服务器接到请求后进行Token验证,如果Token不存在,请求无效。 时间戳超时机制:每个用户请求时都会带上当前时间的时间戳,服务器接收到时...
对开发接口服务的一些总结
热门推荐
xiaolizh的博客
10-11 2万+
  博主之前做过恒丰银行代收付系统(相当于支付接口),包括现在的oltpapi交易接口和虚拟业务的对外提供数据接口。总之,当你做了很多项目写了很多代码的时候,就需要回过头来,多总结总结,这样你会看到更多之前写代码的时候看不到的东西,也能更明白为什么要这样做。 做接口需要考虑的问题      什么是接口 接口无非就是客户端请求你的接口地址,并传入一堆该接口定义好的参数,通过接口自身的逻辑处理...
七、api接口安全设计
余衫马的博客
06-28 2667
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 —— 自定义注解,防止表单重复提交 参考安全|API接口安全设计(防篡改和重复调用) 参考API接口安全设计 为什么要设计安全api接口 运行在外网服务器的接口暴露在整个互联网中,可能会受到各种攻击,例如恶意爬取服务器数据、恶意篡改请求数据等,因此需要一个机制去保证api接口是相对安全的。 本项目api接口安全设计 本项目api接口安全性主要是为了请求参数不会被篡改和防止接口被多次调用而产生脏数据,实现方案主要围绕..
API 接口怎样设计安全
A_991128a的博客
02-20 1332
设计安全API接口是确保应用程序和数据安全的重要方面之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值