互联网开发--HTTP接口安全设计

最新推荐文章于 2024-04-17 13:11:02 发布
最新推荐文章于 2024-04-17 13:11:02 发布
阅读量6.4k 收藏 6
点赞数
分类专栏: 互联网相关 文章标签: 互联网 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quanyechalaila/article/details/70208383
版权

http接口安全设计的必要性

作为http接口的服务端,要能控制你本身自有数据的读写权限。
如果任何客户端在任何时间都能读写你的数据,那么用户数据很容易被修改。这就好比没加用户登录就可以访问和读写所有的系统数据。根本没有安全性可言了。

安全设计方案

方案1:(加密时间戳+可变的加密串)进行安全控制
原始请求:
http://www.zsfy.com/layy/getLayyList.htm?layyId=1001
安全控制后的请求:
http://www.zsfy.com/layy/getLayyList.htm?layyId=1001&timestamp=543fafaf678vnkdnfgsakjfdf676&key=HGYT65475Gt57UABNJKH677677KKJJ

时间戳timestamp说明:
(1)作用是:固定时间范围内,减少同一请求被暴力调用的次数。
(2)客户端请求里加上时间戳传到服务端。服务端获取时间戳与当前时间做比较,如果时间相差3分钟,则拒绝访问本接口。
(3)时间戳的作用可以理解为给接口加了个有效期,超过这个有效期就不能再使用了。主要作用就是防止黑客暴力调用。
(4)注意客户端服务器与接口服务器的时间要进行校准,保持一致;否则有效期会不对,导致接口无法正常使用。
(5)时间戳要进行加密传输。因为数据加密后是没有规律可循的,防止黑客模拟数据,进行非法请求。
加密串key说明:
(1)可变加密串组成:(可变字符串+固定字符串)。采取某种加密算法对(可变字符串+固定字符串)进行加密。
(2)如果没有可变字符串,只是对某固定字符串加密,数据很容易被黑客模拟,进行非法调用。
(3)如果没有固定字符串,只是对某可变字符串加密,万一黑客通过各种测试,知道了key加密的规则,那么客户端给的key在服务端校验总是ok的,接口就并非是安全的了。添加某固定的加密串,增加了黑客破解难度,提高了接口调用的安全性。
(4)客户端与服务端约定好加密串里”可变字符串“和”固定字符串“以及加密算法。服务端接收客户端的字符串,根据约定好的协议自己生成加密串,再与客户端的作比较,一致的话可以调用接口,否则不能调用接口。
比如加密串生成规则如下:md5(layyId+”helloword”)
生成规则为参数layyId的值和某个约定的字符串helloword经过md5编码后的值。
(5)加密算法也可以自定义,不过要注意性能问题,加密时间不要太长。

叭叭两句
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http接口认证实现
05-10
http对外接口安全认证,利用spring aop方式,对特定的controller的方法进行拦截,类似微信SDK的安全认证功能,实现http请求认证。认证后产生令牌,30分钟有效期内可使用令牌无需认证。详细内容请关注微信公众号“懵懂少年songyou”
设计安全HTTP接口方案
windowsliusheng的专栏
06-06 1407
微信API接口传输: Token(长度3-32字符)、 加密秘钥(43位字符组成) 加密签名(token、时间戳、随机数) 参数 描述 signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 timestamp 时间戳 nonce 随机数 echostr 随机字符串 开发者通过检验s...
HTTP协议简介,数据安全 如何保证http传输安全性,httphttps区别
最新发布
2401_82977171的博客
04-17 936
HTTP(超文本传输协议)是应用层上的一种客户端/服务端模型的通信协议,它由请求和响应构成,且是无状态的。(暂不介绍HTTP2)
HTTP API】HTTP API接口安全设计
藏经阁 | 玄苦
05-27 1177
一. 简介 HTTP接口互联网各系统之间对接的重要方式之一,使用HTTP接口开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享。 由于HTTP接口开放在互联网上,所以我们就需要有一定的安全措施来保证接口安全HTTP API接口安全性演进如下 HTTP + 完全开放 (毫无安全可言) HTTP + 参数签名 (基本安全HTTP + 私钥签名公钥验签 (安...
如何设计一个安全的对外接口?
weixin_46742102的博客
09-27 557
前言 最近有个项目需要对外提供一个接口,提供公网域名进行访问,而且接口和交易订单有关,所以安全性很重要;这里整理了一下常用的一些安全措施以及具体如何去实现。 安全措施 个人觉得安全措施大体来看主要在两个方面,一方面就是如何保证数据在传输过程中的安全性,另一个方面是数据已经到达服务器端,服务器端如何识别数据,如何不被攻击;下面具体看看都有哪些安全措施。 1.数据加密 我们知道数据在传输过程中是很容易被抓包的,如果直接传输比如通过http协议,那么用户传输的数据可以被任何人获取;所以必须对数据加密,常
HTTP 请求的各种方法及安全
decode
03-25 4355
一道题: 下列哪些http方法对于服务端和用户端一定是安全的?() GET HEAD TRACE OPTIONS POST 答案:C 这道题注意 服务端和客户端都要安全。 GET / HEAD / OPTIONS方法                只从服务端获取资源 并不对服务器进行修改 因此相对安全。                对于客户端
校竞赛管理系统--毕业设计--后端接口(PHP).zip
01-18
软件开发设计:PHP、应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储...
管局防沉迷验证-PHP-全版本-接口测试样例.zip
05-10
这个DEMO中可能包含了以上部分或全部功能的实现,包括接口设计、数据加密解密、实名认证流程以及与游戏服务器的通信逻辑。开发者可以通过研究DEMO,了解如何在PHP环境中集成这些功能,以便在自己的项目中应用。 ...
8互联网开放平台API安全架构设计.xmind
04-23
该xmind内容非常丰富,从如何保证外开发接口安全性出发,讲到接口安全加密传输方案,再到各种加密方法和对应场景,应有尽有,推荐下载。
android-http.7z
07-30
"android-http.7z"这个压缩包很可能包含了关于在Android平台上使用HTTP进行网络通信的相关资源和示例代码。这里我们将详细探讨Android中的HTTP通信,包括基本概念、常用库以及最佳实践。 1. **HTTP协议基础**: - ...
python http通信接口开发
qq_44725633的博客
04-11 8734
(一):python http通信接口开发 文章目录(一):python http通信接口开发前言一、flask框架1.1,简介1.2,参数说明二、使用步骤1.引入库2.完整代码实现3.测试3.1 mqtt服务器搭建3.2 测试结果3.3 拓展总结 前言 需求来源于AI算法通信接口编写…采用python flask框架 一、flask框架 1.1,简介 MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议),是一种基于发布/订阅(publish/
Java开发从工作到原理--HTTP API接口开发
u013885298的博客
02-14 1056
在Java开发从工作到原理--BasicErrorController统一异常处理中我们通过TestController类实现了一个http接口,通过浏览器可以访问,代码非常简单: @Controller注解表明这个类需要托管给Spring,因为@Controller注解继承了@Component注解,而标有@Component注解得类会由ClassPathBeanDefinitionSca...
Http接口安全整理
凡是过往,皆为序章
07-12 5261
1.Http接口安全概述:       1.1、Http接口互联网各系统之间对接的重要方式之一,使用http接口开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;       1.2、目前国内互联网公司主要采用两种做法实现接口安全:                ...
如何设计安全可靠的开放接口---之Token
自律使我自由
05-12 3573
前言 Open API是会暴露到公网被访问的接口,那与内网接口最重要的区别就是如何做好安全的问题,常见的安全问题有:合法身份判别、数据防窥、数据防篡改、请求防重放、Dos攻击等等,本文针对这些安全问题整理了一些常见的应对措施。 合法身份判别 首先,我们先来看看如何解决身份判别的问题,身份判别最简单的方式就是让用户自己注册账号、密码,然后使用账号、密码登陆成功后再进行接口请求,但是对于Open API来说一般是没有登陆这一步操作的,所以我们就需要通过另一种方式来间接的让请求用户实现登陆。 Token Toke
开放平台API安全设计方案
自在轩恒
06-09 4304
一、解决问题: 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 二、问题分析与处理 1.身份合法性保证: clientid+secretkey方案 参数名 是否必须 clientid 开发者标识/应用标识 secretkey 用于接口加密 为开发者分配clientid(开发者标识,确保唯一)和secretkey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 2.请求被篡改防护:预防请求被中途篡改的隐患 参数签名方案 按照请求参数名的字母升序排列
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
API接口设计方案
05-19 2537
4.增强型客户端-服务器模式:增强型客户端-服务器模式是指API接口由一个客户端应用程序和一个增强型服务器应用程序提供,客户端应用程序通过调用增强型服务器应用程序的API接口来实现与应用程序的交互。2.客户端-服务器模式:客户端-服务器模式是指API接口由一个客户端应用程序和一个服务器应用程序提供,客户端应用程序通过调用服务器应用程序的API接口来实现与应用程序的交互。1.中心化模式:中心化模式是指API接口由一个中心化的组件提供,其他组件通过调用中心化组件的API接口来实现与应用程序的交互。
编码技巧——HTTP接口安全防范CSRF攻击
娜娜米的博客
04-19 3439
​ 上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案; 思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!
http接口开发几种工具简单介绍
热门推荐
xiongyouqiang的博客
01-26 4万+
背景 相信大家在开发过程中,多少都会遇到对接别人系统接口,或者提供接口给他人使用(供应商、公司其他内部系统)。回顾我这几年的项目开发http接口开发从未间断,起初刚毕业的是就参与一个项目开发接口给app对接,尤其现在这家公司的工作任务有蛮大比例的任务都是跟接口开发有关。为什么这么说呢,是因为我现在的都是跟各大电商系统进行对接。刚来公司的时候已对接了天猫、京东平台,后续随着公司各品牌的发展规划,...
单片机原理及应用:第六章 MCS-51系统的串行接口.ppt
06-17
“MCS-51单片机的串行接口是其片内的重要特性,通过RXD(P3.0)和TXD(P3.1)引脚进行串行通信,既可以节省...理解和熟练掌握MCS-51的串行接口特性对于开发基于该单片机的系统至关重要,可以极大地扩展其功能和应用范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值