1、数据参数加密
2、签名机制
将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。签名机制保证了数据不会被篡改。
3、Token授权机制
用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。
目前toke是注册账号时生成的不再改变,缺少可变性。
改进方案:建立一张token和用户id关系表,每次登陆都生成一个token,之前生成的都作废,并记录登陆时间等相关信息。
4、时间戳超时机制
用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如1分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。
5、黑名单机制
增加ip黑名单和账号黑名单进行限制
6、ip限流机制
对短时间内同一个请求(ip)一直访问接口进行限制。
7、拒绝重复调用
客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。如果有人使用同一个URL再次访问,如果发现缓存服务器中已经存在了本次签名,则拒绝服务。
如果在缓存中的签名失效的情况下,有人使用同一个URL再次访问,则会被时间戳超时机制拦截。这就是为什么要求时间戳的超时时间要设定为跟时间戳的超时时间一致。拒绝重复调用机制确保URL被别人截获了也无法使用(如抓取数据)。
8. 使用Https协议加密传输,但是传输速度相对htpp会慢些
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
