在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题?
主要从以上三个方面来设计一个安全的API接口。
一 安全性问题
安全性问题是一个接口必须要保证的规范。如果接口保证不了安全性,那么你的接口相当于直接暴露在公网环境中任人蹂躏。
1.1 调用接口的先决条件-token
获取token一般会涉及到几个参数appid
,appkey
,timestamp
,nonce
,sign
。我们通过以上几个参数来获取调用系统的凭证。
appid
和appkey
可以直接通过平台线上申请,也可以线下直接颁发。appid
是全局唯一的,每个appid
将对应一个客户,appkey
需要高度保密。
timestamp
是时间戳,使用系统当前的unix时间戳。时间戳的目的就是为了减轻DOS攻击。防止请求被拦截后一直尝试请求接口。服务器端设置时间戳阀值,如果请求时间戳和服务器时间超过阀值,则响应失败。
nonce
是随机值。随机值主要是为了增加sign<