关于服务接口的安全问题

最新推荐文章于 2022-07-26 10:16:20 发布
最新推荐文章于 2022-07-26 10:16:20 发布
阅读量1.4k 收藏
点赞数
分类专栏: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/techofyp/article/details/11107611
版权

      API接口的安全只有启用数字证书才是绝对安全,其他所有方式永远无法达到100%安全。

      当然了,中国很多CA机构自签的证书不在此列,自签证书易被破解。

      必须是国际性CA。目前中国就2家有此资格签发。

     长话短说,我们来具体看看如何才能保证API的安全通信。


    一、API Server端配置SSL证书(此证书可以购买,便宜的几百块,贵的上万,绑定此Server的访问域名)。

            1、申请SSL证书并安装

            2、配置IIS站点

  二、访问端必须持有一张客户端证书,并在程序中携带此证书请求服务端。

           1、申请客户端证书并安装(有免费Email,个人版、单位版可以视乎情况决定申请那种)

            2、授权IIS能访问此客户端证书

           3、程序访问本地计算机中的此客户端证书,并带着此证书去请求API

 三、API Server端配置只有此张证书才能访问API

          1、IIS6直接配置

          2、IIS7以上没有界面配置,必须进入IIS配置文件里修改

四、多个客户端机器连接API的配置

         1、可以多个客户端都用同样一张客户端证书访问,这样API Server设置无需更改,只需配置“一对一”

         2、可以每个客户端申请一张客户端证书,那么API Server必须配置成“一对多”模式

恍然83
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP接口设计安全问题
AndyLizh的专栏
09-10 6万+
用PHP做服务接口客户端用http协议POST访问安全性一般怎么做
OAuth和OpenID的区别(转)
weixin_34204057的博客
09-17 313
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。  OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此...
接口安全问题
两年半丶的博客
07-25 1464
接口安全那点事接口安全问题一、接口分类二、接口安全设计原则三、接口安全设计注意事项:四、常用接口安全测试类五、解决方法: 接口安全问题 在开发过程中,肯定会有和第三方或者APP端的接口调用,在调用的时候,如何来保证非法链接或者恶意攻击呢? 一、接口分类 1、接口类别:restful(json) soap(xml) 2、协议 :http https(ssl) 3、restful接口请求类型 g...
关于API接口安全的思考
qq_35771266的博客
07-06 464
最近在搭建一个框架,涉及接口安全问题。为了减少攻击,想了很多。在这里复盘一下。 为什么要对接口安全设置? 如果get接口不做安全设置,如果接口被恶意攻击很有可能造成服务器或者数据库瘫痪,导致这个应用挂掉。 如果post接口被攻击那就更可怕了,这个会产生很多非常不好的影响。比如数据丢,数据错乱,大量脏数据。如果涉及到money...后果就更不用想了。所以接口安全这一块是一个应用的重中之重,一定要尽最大努力去做好。 但是有一点,我们即使做得再好也只...
04-12 常见接口安全问题及解决方案
Leo-Fighting的博客
09-02 312
命令注入漏洞 目标是通过易受攻击的应用程序在主机操作系统上执行任意命令 SQL注入漏洞 发生在应用程序与数据库层的安全漏洞 危害及预防 危害:漏洞能让黑客无限制的使用SQL,造成数据泄露,甚至是远程名利操作 预防:使用参数化查询避免数据被混在指令中 XSS漏洞 跨站脚本漏洞,是一种网站应用程序的安全漏洞攻击 主要通过利用网页开发时留下的漏洞,使用巧妙的方法注入恶意制定代码,导致用户加载并执行攻击者恶意制造的网页程序 危害及预防 危害:危害网站上的用户,导致其被动执行非预期网页脚本 预防:输入输出过滤、
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
C0128国家政务服务平台政务服务数据服务接口要求.pdf
12-29
国家政务服务平台政务服务数据服务接口要求 本文档对国家政务服务平台政务服务数据服务接口的要求进行了详细的规定。该文档规定了政务服务平台的数据服务接口的实现要求,包括接口类型、接口地址、接口版本、参数...
Dubbo服务接口的设计原则.pptx
最新发布
11-05
1. 接口粒度:服务接口尽可能大粒度,每个服务方法应代表一个功能,而不是某功能的一个步骤,否则将面临分布式事务问题。 2. 版本控制:每个接口都应定义版本号,为后续不兼容升级提供可能。 3. 接口兼容性:服务...
多重语言短信服务接口
09-13
这个短信服务接口的独特之处在于,它预先处理了各种语言的适配问题,使得开发者不必花费大量时间去筛选和测试不同语言环境下的短信发送功能。接口由一家备受信赖的短信服务商提供,经过长期的稳定运行和优化,确保了...
APP访问服务接口安全控制说明.docx
06-18
《APP访问服务接口安全控制详解》 在移动应用开发中,确保服务接口安全性是至关重要的。本文将详细阐述APP访问服务接口安全控制机制,主要涉及登录接口接口访问权限验证以及匿名接口访问等关键环节。 1. ...
接口api开发中安全问题
华章酱的博客
04-26 6051
所谓接口,就是类似http://Example.com/index.php?module=users&action=info&user_id=333的请求,然后服务器端直接根据user_id来做相应的会员操作,这是及其危险的接口处理,等于把当前的会员系统全暴露出来了,只要对方改一下user_id既可操作所有会员对应的接口。一般在PC端,我们是通过加密的cookie来做会员的辨识和维...
阿里云服务器3306端口MySQL连接异常
热门推荐
wangjiawei0227的博客
06-18 2万+
阿里云服务器端口连接一直想自己弄一台服务器,就在阿里云上买了学生价的服务器,还是蛮便宜的。100多块钱一年,先买一年的玩玩看。说起来买服务器主要是想在上面跑一些程序或者放数据库用的,于是就安装了个ubuntu,下载了mysql等一系列东西。于是就尝试了一下服务器数据库的远程连接。开始尝试最开始先在网上找怎样配置,很多教程。
服务安全基础知识
物流小哥的博客
03-23 2596
这里我说一下服务安全知识吧,虽然我很早之前想过要搞黑客技术,但是因为种种原因我最终也没有搞黑客技术,不过我还是很关心安全领域的。 很早之前我搭建服务器只是为了测试我所学的知识,安全没有怎么关注,服务器一直被各种攻击,我当时也没怎么注意,后来我还是真正去使用服务器去搭建正式的网站了,才感到安全问题的紧迫性。
使用servlet提供接口
tanwenfang的博客
05-26 6632
对于Java开发人员来说,应该已经习惯了应用spring框架中的注解方式来提供接口,本人就是这种。不过最近由于工作需要,要开发纯Java项目,不使用任何框架,那就只能使用servlet来达到提供接口的目的了,顺便复习一下。 Servlet是 Java用来创建动态web应用的服务组件,可以被部署在Java web服务器中,例如:Tomcat,JBoss,WebLogic等主流服务器中。Servlet...
PHP做APP接口时,如何保证接口安全
lhbeggar的专栏
06-05 1万+
PHP做APP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数
MySQL,3306端口,内部敏感服务对外开放存在风险解决办法
蚂蚁哥的博客
08-15 1万+
不管是2008还是2003服务器都是要用到端口服务的,本文我们以2008服务器为例来解释下如何解决百度云观测提示的这个漏洞的解决办法. 一个客户用的是2008服务器,今天找到我们说百度云观测提示他服务器不安全,并且给我截了下面的图 mysql的3306端口在什么清空下要开放给外部呢,比如你需要在本地电脑上链接服务器上的数据库 对数据库进行操作备份 删除 修改之类的操作就需要开启3306的...
保证接口数据安全的10种方案
yuechuzhixing的博客
07-26 351
数据加签用Hash算法(如MD5,或者SHA-256)把原始请求参数生成报文摘要,然后用私钥对这个摘要进行加密,就得到这个报文对应的数字签名sign(这个过程就是加签)。通常来说呢,请求方会把数字签名和报文原文一并发送给接收方。验签接收方拿到原始报文和数字签名(sign)后,用同一个Hash算法(比如都用MD5)从报文中生成摘要A。另外,用对方提供的公钥对数字签名进行解密,得到摘要B,对比A和B是否相同,就可以得知报文有没有被篡改过。其实加签,我的理解的话,就是把请求参数,按照一定规则,利用hash。...
MySQL 小心3306端口
没有进步就是退步
08-12 1万+
接受这个项目的已经有一个月,但是在前几天,服务器上的项目突然跑不了,页面也时不时的刷新不出来,有时还直接提示服务器暂时不提供服务。后来检查发现是MySQL的原因(主要数据库也不是部署在这台服务器上,也不知道上个维护这个项目的师兄为什么要装,而且用户名密码居然是root,132465),由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过330
如何保证微服务接口安全
jmysql的博客
04-25 271
尚学堂给同学们带来全新的Java300集课程啦!java零基础小白自学Java必备优质教程_手把手图解学习Java,让学习成为一种享受_哔哩哔哩_bilibili 内网接口:都是当前内网中实现通讯,相对于来说比较安全的。 外网接口:前后端分离调用,基于OATUH2.0构建开放平台 比如appid、appsocet获取accesstoken调用接口。 针对后端: a、接口协议采用https,使用ssl+证书加密传输,端口443 b、对接口的数据参数实现加密,使用RSA非对称加密技术 c、对接口实现MD5的
POS服务系统-POS终端接口说明.docx
11-21
"该文档详细介绍了POS服务系统与POS终端之间的接口规范,涵盖了网络结构、接口说明、协议栈、通信方式、接口流程以及各种交易和治理操作。文档旨在指导POS服务系统与终端的数据接口开发,内容包括系统网络构成、接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值