系统接口安全设计

已于 2022-11-09 15:59:07 修改
阅读量910 收藏
点赞数 1
分类专栏: 架构 文章标签: 网络 安全 web安全
于 2022-11-09 15:51:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63033995/article/details/127771472
版权
  1. 系统接口安全设计

接口运行环境为互联网环境,接口安全尤为重要,我们设计三个机制保障接口数据安全。

    1. 客户端授权机制

第三方单位需要向地环总站申请对接appKey客户端系统编码和授权码password(签名时使用),总站根据业务需要设置是否开启IP地址绑定,授权时间可以永久授权,可以选择时间段授权。服务端接收到请求后进行appKey验证,如果appKey不存在,说明请求无效。如果存在进步验证IP地址是否匹配。

    1. 时间戳超时机制

客户端每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间( 比如2分钟 ),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段,防止参数重复使用。

    1. API签名机制

将appKey + nonce + timestamp + password采用MD5算法签名,得到的数据就是本次请求的签名signature,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。签名机制保证了数据不会被篡改。

1.4 接口参数校验

为了保证系统安全性,健壮性,参数校验必不可少,校验参数的合法性不能因为前端或者其他第三方调用因参数传的不对导致我们的系统报错甚至崩溃。一般都是在接口层面,对传入的参数进行校验,对于Controller接口参数校验,requestBody参数校验使用Bean Validation校验注解、方法级别的校验使用Validated校验注解。例如日期时间格式,数值范围等。

fangxiaoniu
关注
专栏目录
系统架构设计师】论文:论信息系统安全性与保密性设计
数据知道的博客
08-30 3713
我所在公司承接了一款养老管理信息平台,该系统以养老为主线,其中包括养老档案、照护计划、服务审计、状况跟踪、费用管理等方面的60多个业务功能模块,我在项目中担任系统架构设计师,主要负责整个系统的架构设计。本文以该养老管理信息平台为例,主要论述了针对该系统安全及保密性问题,我们所采用的技术手段及解决方案。在网络硬件层通过设置硬件防火墙,来保证内部网络安全性;在数据层通过设置数据加密及容灾备份机制,以此保证数据抗突发风险的安全
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
API接口安全设计
ShootCode
04-08 7330
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。时间戳超时机制:用户每次请求都带上当前时间
接口安全设计
最新发布
Karka_的博客
09-05 1749
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
调用其他服务器接口证书_API 接口安全设计
weixin_39927799的博客
11-29 276
# API 接口安全设计## 实现约定规则### 调用方按照规则加密,传输对应参数### 服务方按照规则解密## 防止被其他人调用### appKey & signKey- 原理 - 通过 appKey 标识不同调用方 - 利用 signKey 和 传入参数 生成 sign 进行加密 - signKey 只在本地加密,不参与网络传输 - 比较好的加密方式是 通过 rsa 加密的方...
关于接口安全设计
歇息的专栏
06-14 1676
    大家都知道,访问一个接口的时候,如果你不做过滤,很容易出问题,比如有人会模拟请求篡改数据,这样就很不安全,因此就要设计一个安全接口访问方式。    我的想法是在访问接口带上一个访问的令牌即token,这个token的生成可以根据用户Id生成一个字符串,存放在服务器缓存里面,以后每次访问都带上token,光用token还是不够的,还要带上一个签名,这个签名可以借助微信支付里面的方法,生成签...
系统接口设计对接方案 .docx
12-20
系统接口设计对接方案是指系统与外部系统之间的对接方式,涉及到安全、方式、压缩、解压、规范、标准、口令、审计、责任等多个方面。 在系统接口设计中,需要考虑到安全性、可靠性、性能、可扩展性、灵活性等多个...
软件系统平台对接接口方案
06-02
本文将深入探讨系统接口设计的各个方面,包括接口设计原则、接口定义与分类、接口设计模式以及接口实现方式。 首先,接口设计原则是指导接口设计的核心准则。高内聚、低耦合是设计中的金科玉律,旨在减少系统间的...
接口安全高速光纤单向传送系统设计与实现.pdf
09-09
接口安全高速光纤单向传送系统设计与实现 安全开发 安全测试 安全对抗 安全防护 安全对抗
系统接口设计模板.docx
12-17
接口设计模板,接口设计模板
操作系统接口设计(课程设计
03-30
本文档谨供你参考,不要完全照抄!程序还是要自己写的,不然就没有意义了!你自己的事,自己决定吧! 利用C语言、DOS中断中21H与屏幕显示相关的中断调用完成设计,具体包括 1. 命令解释器 2. 列目录命令 3. 显示时间命令 4. 显示日期命令 5. 回显字符串命令 6. 创建目录命令 7. 删除目录命令 8. 更改路径命令 9. 显示当前工作目录命令 10. 删除文件命令 11. 打印文本命令 12. 文件重新命名 13. 显示文本命令 14. 显示版本命令 15. 显示目录结构命令 16. 清除当前显示内容命令 上述内容中,所有命令通过命令解释器能够执行,即启动命令解释器以后,输入相应命令,按照输入指令执行相应功能,并在屏幕上显示相应结果。
银行与企业接口应用系统总体设计方案.doc
10-02
银行与企业接口应用系统总体设计方案文档例子,系统总体设计方案例子,设计方案模板例子
系统接口设计
热门推荐
飘寒
06-23 3万+
最近两年一直在和银行、公安、保险、民政等第三方单位之间做接口,写的接口文档不下30份,最初的接口文档漏洞百出,改了又改,丢了不少人,也被批评、埋怨,指责了很多次,久而久之,明白了一个最重要的道理,协作决定接口。双方谈接口时,技术不是最重要的,要兼顾双方技术,成本,工期等等很多因素。但仍有很多技术层面的心得,恰巧上周参与温昱老师的一个性能设计的外训,里面老师讲到了接口设计,正好回来一起整理一下接口
接口安全设计
zRainbow的博客
04-12 205
1. 不可见(强制HTTPS) 1. 不可修改(强制HTTPS) 1. 不可伪造(前端接口理论上不可能,但是能通过加密尽量减小影响,服务间接口可保证) 1. 不可重放(接口幂等性处理可以解决,时间戳加随机数完成)
关于系统接口设计
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
07-22 1953
系统接口设计是一个非常常见的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值