API接口的安全性设计

最新推荐文章于 2024-07-27 11:00:00 发布
最新推荐文章于 2024-07-27 11:00:00 发布
阅读量484 收藏 4
点赞数 1
分类专栏: 接口 RESTful 文章标签: 接口的安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun_daming/article/details/80071378
版权

接口的安全性

主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会篡改和重复调用。

 

  • Token授权机制:用户使用用户名和密码登陆,服务器会返回Token,并将Token-UserID以键值对的形式保存在缓存服务器中。服务器接到请求后进行Token验证,如果Token不存在,请求无效。
  • 时间戳超时机制:每个用户请求时都会带上当前时间的时间戳,服务器接收到时间戳时,会与当前的时间进行比对,如果时间差大于规定的设置时间,请求失败,这个设置的时间要保证能完成本次请求的时间尽量短,以减少服务器的压力
  • 签名机制:将Token和Timestamp加上其他请求参数进行算法加密(MD5),加密后的数据为本次请求的签名,并将该签名存放到数据库中,设置的超时时间和时间戳的超时时间一致。服务器接收到请求以同样的算法得到的签名,并跟当前的签名进行对比,若不一致,说明参数被改过,直接返回错误信息,同一个签名只能用一次,如果发现缓存服务器中已经存在本次签名,则拒绝服务

整个流程:

 

  1. 客户端通过用户密码登陆服务器并获取Token
  2. 客户端请求时产生的时间戳,并将时间戳作为其中一个参数
  3. 客户端将所有的参数(包括Token和timestamp)按照自己的算法进行排列加密得到签名(sign)
  4. 将Token、Timestamp和Sign作为请求时必须携带的参数加在每个请求的URL后面
  5. 服务器中拟定好的过滤器会对Token、Timestamp和Sign进行验证,只有三个参数都正确且在规定的时间内,本次请求才有效。
依剑仗天涯
关注
专栏目录
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
API 接口 设计文档 模板
05-28
API 接口 设计文档 模板,保存日后使用
API接口安全性设计
ShootCode
04-08 7308
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。时间戳超时机制:用户每次请求都带上当前时间
设计一个安全对外的API接口,需要考虑哪些方面,怎么入门网络安全
最新发布
qq_44005305的博客
07-27 732
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Api接口安全性设计
cow031200的博客
09-21 290
接口安全性设计 基本的安全性设计规则 1. Token验证 客户端验证通过后,生成一个Token,以后每次请求在headder中携带token值用作验证,token要设置有效时间,过期后要重新获取。 2. 接口签名验证 主要是通过对接口参数加盐值生成md5来验证接口参数是否经过篡改,参数中要包含一个客户端当前时间戳,超时的请求不予处理,所有参数按升序排序。 3. 防止重复提交 收到客户端的请求后,先验证下签名是否在缓存中存在,如果存在证明该请求被重复发送,不存在的时候,先把请求写到缓存中,注意过期时间为签
API安全接口安全设计
xiongxianze的博客
11-11 1166
转载自:API安全接口安全设计_zhou920786312的博客-CSDN博客_接口安全 如何保证外网开放接口安全性使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上accessTok...
java接口安全怎么处理_Restful API 接口安全性设计
weixin_35701002的博客
02-26 983
1.API接口设计规范2.安全性设计a.白名单限制仅接受特定系统的请求响应,调用方的IP地址需要在本系统中报备,否则无法调用b.合法身份合法性验证Basic Authentication :这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。TOKEN认证:这种方式也是再HTTP头中,使用 Author...
【HTTP API】HTTP API接口安全性设计
藏经阁 | 玄苦
05-27 1262
一. 简介 HTTP接口是互联网各系统之间对接的重要方式之一,使用HTTP接口开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享。 由于HTTP接口开放在互联网上,所以我们就需要有一定的安全措施来保证接口安全。 HTTP API接口安全性演进如下 HTTP + 完全开放 (毫无安全可言) HTTP + 参数签名 (基本安全) HTTP + 私钥签名公钥验签 (安...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
APP接口的安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全。
接口安全设计
肥柯博客
05-16 1196
本文简述开发过程中对接口防刷、接口防篡改、接口时效性、接口加密、接口文档的描述和运用
实践 + 理论 | API 接口安全性设计
mySoul
09-14 338
这是小小本周的第一篇,理论理论主要体现在两个方面,分别是保证数据在传输过程中的安全性,以及数据如何到达服务器端如何获取到数据,如何不被攻击。数据加密数据在传输的过程中很容易被抓包,例如通...
API 接口怎样设计才安全?
A_991128a的博客
02-20 1323
设计安全的API接口是确保应用程序和数据安全的重要方面之一。
接口安全性设计
zRainbow的博客
04-12 191
1. 不可见(强制HTTPS) 1. 不可修改(强制HTTPS) 1. 不可伪造(前端接口理论上不可能,但是能通过加密尽量减小影响,服务间接口可保证) 1. 不可重放(接口幂等性处理可以解决,时间戳加随机数完成)
七、api接口安全设计
余衫马的博客
06-28 2664
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 —— 自定义注解,防止表单重复提交 参考安全|API接口安全性设计(防篡改和重复调用) 参考API接口安全设计 为什么要设计安全的api接口 运行在外网服务器的接口暴露在整个互联网中,可能会受到各种攻击,例如恶意爬取服务器数据、恶意篡改请求数据等,因此需要一个机制去保证api接口是相对安全的。 本项目api接口安全设计 本项目api接口安全性主要是为了请求参数不会被篡改和防止接口被多次调用而产生脏数据,实现方案主要围绕..
API接口设计与开发规范
API接口设计规范对于确保API的可读性、可维护性和安全性至关重要。遵守这些规范可以降低开发过程中的沟通成本,提升系统的稳定性和用户体验。在实际开发中,团队应根据自身需求和项目特点,灵活应用并扩展这些规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

依剑仗天涯

你的鼓励是我创装的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值