尝试设计一个对外接口

最新推荐文章于 2022-06-19 17:37:35 发布
最新推荐文章于 2022-06-19 17:37:35 发布
阅读量183 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43890141/article/details/116723591
版权

1.请求报文

出于安全考虑,加密和签名是必不可少的,据此,基本的字段应该有:

  1. encType 加密方式,如aes
  2. signType 签名方式,如MD5
  3. signData 签名结果
  4. busiName 请求的业务接口名
  5. busiData 业务数据(这个数据是经过encType指定的算法加密过后的密文,并非明文)

通常还有防重放的要求,增加如下两个字段:

  1. timeStamp 时间戳
  2. nonce 随机数

如果是一对一的接口,以上字段就够用了;如果是一对多(多个客户端),还需要增加clientId来区分每个客户端。一个请求报文的实例如下:

{
    "encType":"aes",
    "signType":"md5",
    "signData":"03b588f517cd3f9b3e702022b4195b52",
    "busiName":"user.info",
    "busiData":"6M1133yyTothav0APxDAd+C4TFkDektkLgFcCjlQx11=",
    "timeStamp":"1506391864652",
    "nonce":"02569838",
    "clientId":"holic_01"
}

2.响应报文

响应报文的变化主要有一是增加了处理结果编码和处理结果描述,二是去掉了防重放的nonce字段,基本字段应包含如下:

  1. resultCode 返回码
  2. resultMsg 返回状态描述
  3. encType 加密方式
  4. signType 签名方式
  5. signData 签名结果
  6. busiName 请求的业务接口名
  7. busiData 业务数据
  8. timeStamp 时间戳

还是贴一个示例吧

{
    "encType":"aes",
    "signType":"md5",
    "signData":"03b588f517cd3f9b3e702022b4195b52",
    "busiName":"user.info",
    "busiData":"6M1133yyTothav0APxDAd+C4TFkDektkLgFcCjlQx11=",
    "timeStamp":"1506391864652",
    "resultMsg":"处理成功",
    "resultCode":"0000"
}

大概说一下接口的工作原理。请求过来时,先验证是否是重复请求:去Redis中查找有没有key为nonce的字符串,没有,则创建这个key,把这个key失效的时间和验证timestamp失效的时间置成一致,比如是120s;如果有,说明这个nonce在120s内已经被使用了,那么这个请求就可以判断为重放请求,直接不处理。通过重放验证后,再验证签名:根据和客户端约定的规则对入参进行签名,签名一致则进行后续操作;不一致说明中途被篡改,不予处理。 下一篇文章会对参数的处理进行比较详细的说明,本篇到此结束。

づzw°Hypocrisy
关注
通用接口开放平台设计与实现——(3)API服务框架设计与实现
学海无涯,行者无疆
02-13 1224
先来回顾下API服务的整体设计。API服务是通用接口平台的主体部分,对外暴露Restful风格的数据接口,其他应用系统通过调用API服务,一方面,可以查询权限范围内的业务数据,另一方面,可以将自身系统产生的数据推送至接口平台。
java高qps接口设计_高并发后端设计-限流篇
weixin_33369808的博客
02-26 1701
系统在设计之初就会有一个预估容量,长时间超过系统能承受的TPS/QPS阈值,系统可能会被压垮,最终导致整个服务不够用。为了避免这种情况,我们就需要对接口请求进行限流。限流的目的是通过对并发访问请求进行限速或者一个时间窗口内的的请求数量进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待。常见的限流模式有控制并发和控制速率,一个是限制并发的数量,一个是限制并发访问的速率,另外还可以限制单位...
其他系统 对外接口设计_对外接口设计总结
weixin_39598954的博客
12-06 2530
(点击上方蓝字,快速关注我们,我们来自BAT一线工程师)本篇文章主要讨论的是提供给其他系统使用的接口比如RPC。提供一个RPC类似的接口在现在的互联网开发中是最最普通的一件事件,但是好像我们开发一个RPC服务给其他系统使用时,没有任何的规范和要求。其实一个系统对外开放一个接口一个成本和代价非常非常高的操作,并且一个系统的对外接口是表达了该系统的核心功能和对外的服务能...
如何设计一个安全的对外接口?
weixin_43167418的博客
12-20 723
来自:开源中国(作者:ksfzhaohui)原文链接:https://my.oschina.net/OutOfMemory/blog/3131916前言最近有个项目需要对外提供一个接口,...
对外API接口设计
weixin_42304845的博客
10-28 5782
对外API接口设计 安全性 1、创建appid,appkey和appsecret ps:appid:应用的唯一标识 appkey:公钥=账号 appsecret:私钥=密码 1、设计一个认证系统,专用于创建第三方接入应用的账号信息,用于生成appid,appkey和appsecret,然后发appkey和appsecret给第三方接入应用,用于做认证 ps:appkey和appsecret成对出现的机制,目的在于首次验证(类似登录场景),用来申请一个token,之后请求数据请求,就直接带token请求服务端
如何写一个接口供外界访问
weixin_33913377的博客
02-02 1315
在工作的时候经常调用别人的接口,获取数据,然后就想知道这中间的原理是什么呢?今天上一个自己写的一个测试例子:首先是自己远程写好的一个接口:publicfunctiontestming(){ $arr=array( 'first'=>'1', 'hospitalname'=>'2', ...
java对外提供服务接口如何写?
evilcry2012的专栏
10-11 3万+
java对外提供服务接口如何写?终于搞明白,存储TCO原来是这样算的>>>    0 收藏(1) java对外提供服务接口如何写? 跨系统,跨客户端,安全性要求高。webserice? rmi ?还有其他的解决方式吗? Java 举报分享 zzuqiang 发帖于3年前 10回/28K+阅 共有10个答案 最后回答:
web项目API接口设计开发总结
dengyilang123的博客
08-31 6998
当前公司自主开发一个AI图片识别项目,需要对外开放提供接口,领导二话没说把这个任务交给我来做,算是对我的一次考验。虽然以前自己没有设计接口,但是调用过别人写的接口,如百度提供的接口,还有以前在项目中调用别人的接口等等。感觉调用别人的接口还挺方便的,自己来设计的时候,真不知道如何下手。然后去查看学习各种教程,开始进行接口设计开发工作。 设计原则 鉴于目前的网...
接口测试简介以及接口测试用例设计思路
信仰
09-07 15万+
接口测试简介 1.什么是接口 接口就是内部模块对模块,外部系统对其他服务提供的一种可调用或者连接的能力的标准,就好比usb接口,他是系统向外接提供的一种用于物理数据传输的一个接口,当然仅仅是一个接口是不能进行传输的,我们还的对这个接口怎么进行传输进行进行一些设置和定义。开发所谓的接口是模块模块之间的一种连接,而测试眼中的接口是一种协议(对接口的功能的一种定义) 2.接口的种类和分类 外部接...
如何解决USB-C接口设计规范性上的问题
07-13
RaspBerry 4 Pi model B(树莓派4B)正式发布,从处理能力,通信方式,对外接口都进行了全方位的升级,为嵌入式开发者带来了福音。收到货后,不少开发者怀着激动的心情开始尝试使用。结果,却发现了USB-C接口设计...
安全-如何设计一个安全的对外接口
皮皮皮的代码
10-12 849
1. 背景 在某些场景(提供第三方API接口的调用)下为了保证数据在传输过程中的安全性,需要对接口进行签名认证。一般而言,如果不是特别需要自己设计,可以直接将接口挂在阿里API网关上(可能会有部分的限制,如流量)。这里也是参照阿里网关签名思路写的。 2. 安全措施 (1)数据加密 我们知道数据在传输过程中是很容易被抓包的,如果直接传输比如通过http协议,那么用户传输的数据可以被任何人获取;所以必须对数据加密,常见的做法对关键字段加密比如用户密码直接通过md5加密;现在主流的做法是使用https..
java如何写接口给别人调用
热门推荐
泽涛CSDN-blog
10-14 16万+
java如何写接口给别人调用
设计一个安全的对外开放接口+实现案例
十指演绎悲伤的博客
06-19 2352
对外开放接口
WEB--接口校验方案
BtWangZhi的博客
11-26 992
方案1: 2 SIG=MD5(SID+TOKEN+TIME) AUTH=BASE64(SID:TIME) URL=VERSION/ACOUNTS/SID/FUNCTIOM/OPERATION?sig=SIG http包头中添加字段Authorization,值为AUTH 1 解码AUTH-》当前时间与Auth中的时间进行比较 2 根据sid查询用户状态信息。判断 3 auth中的si...
队列监控预警交易
是我,君柳下
06-07 522
----===========================================================================--队列监控预警--需求        --AFA路径:/AIBS/CQ/MIM/QUEMONWARNING        --核心是:获取队列监控表中  队列人数预警阀值 1,队列等待时间预警阀值 2,客户类型综合评级等待时间阈值 3 ...
怎么开发一个完整的对外接口API
douxingpeng1的博客
08-15 4万+
1、客户端请求加密、服务端请求解密 2、防止重复提交 一般是在数据库加状态,在 status=0 的状态下更新,更新完状态变为1,这样就可以防止重复提交 --------------------------------------------------------------------------------- 签名基本原理是通过 key/secret 的实现: 1, 服务器......
如何写出一个优秀的对外接口【3条原则,16个小点】
胡杰的专栏
03-31 1786
对外API接口设计 安全性 1、创建appid,appkey和appsecret 2、Token:令牌(过期失效) 3、Post请求 4、客户端IP白名单 (可选) 5、单个接口针对IP限流(令牌桶限流,漏桶限流,计数器限流) 6、记录接口请求日志 7、采用Https 8、数据合法性校验 9、密码查询(加缓存,key使用客户号) 10、接口调用失败告
分布式系统设计实践与反思
分布式系统设计一个持续演进的过程,需要在实践中不断学习和改进。作者的经验分享旨在提供一个参考,帮助开发者避免常见的陷阱,同时也提醒大家关注系统扩展性、容错性和性能。随着技术的发展,新的工具和框架如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值