API接口安全性设计思路

最新推荐文章于 2024-05-03 15:54:08 发布
最新推荐文章于 2024-05-03 15:54:08 发布
阅读量7.8k 收藏 4
点赞数 9
分类专栏: 解决方案 文章标签: 安全 des aes API接口设计 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013777676/article/details/44450461
版权

1.公共接口,任何人都可以访问调用

      1.1.适合场景,公司后台整合广告管理,提供统一的接口返回给公司其他项目调用和邮件模板调用,这时候需要设计一个统一的接口,返回广告的内容。还有天气查询等场景。  

@PostMapping("/syncInfo") 
public Result syncInfo(@RequestParam(name = "data")String data){
          if(!StringUtils.isNotBlank(data)){
              return  new Result("失败!",false,HttpCode.STATUS_104);
          }
          InfoVo infoVo = JSONObject.parseObject(data,InfoVo.class);
          dealInfo(infoVo);
          return  new Result("成功!",true, HttpCode.STATUS_200);
 }
2.接口参数加密

           2.1.适合场景,公司内部两个项目组进行对接,为了防止接口被暴露和伪造访问,这个时候需要对参数进行加密处理,防止接口被其他外部人员调用,一般采用desc或者aes对称加密,约定好秘钥进行对接。

    @PostMapping("/syncInfo")
    public Result syncInfo(@RequestParam(name = "data")String data){
        try {
              if(!StringUtils.isNotBlank(data)){
                  return  new Result("失败!",false,HttpCode.STATUS_104);
              }
              DES des = new DES("秘钥".getBytes());
              String j = des.decryptStr(data);
              logger.debug("解码前:" + data);
              logger.debug("解码后:" + j);
              InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);
              dealInfo(infoVo);
              return  new Result("成功!",true, HttpCode.STATUS_200);
          }catch (Exception e){
                e.printStackTrace();
                if(!StringUtils.isNotBlank(data)){
                    return  new Result("系统错误!",false,HttpCode.STATUS_105);
                }
          }
        
    }
3.接口时效性加密+接口参数加密

            3.1.适合场景,内部接口加密过的数据链接被暴露,不断有相同数据对接口进行访问,这个适合需要对接口加入时间戳参数,设计失效时间解决这个问题。

   @PostMapping("/syncInfo")
    public Result syncInfo(@RequestParam(name = "data")String data){
        try {
              if(!StringUtils.isNotBlank(data)){
                  return  new Result("失败!",false,HttpCode.STATUS_104);
              }
              DES des = new DES("秘钥".getBytes());
              String j = des.decryptStr(data);
              logger.debug("解码前:" + data);
              logger.debug("解码后:" + j);
              InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);
              if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){
                  return new Result("接口失效!",false,HttpCode.STATUS_100);
              }
              dealInfo(infoVo);
              return new Result("成功!",true, HttpCode.STATUS_200);
          }catch (Exception e){
                e.printStackTrace();
                if(!StringUtils.isNotBlank(data)){
                    return new Result("系统错误!",false,HttpCode.STATUS_105);
                }
          }

    }
4.接口时效性+接口参数加密+不同来源的私钥
             4.1适合场景, 当接口秘钥被泄露时,我们可以对不同的数据来源设置不同的私钥,这样即使接口秘钥被泄露,没有私钥,依然不能对接口进行操作,而且可以记录是哪个项目的秘钥被泄露,快速定位出问题的来源,且不会影响其他项目调用。 
    @PostMapping("/syncInfo")
    public Result syncInfo(@RequestParam(name = "data")String data){
        try {
              if(!StringUtils.isNotBlank(data)){
                  return  new Result("失败!",false,HttpCode.STATUS_104);
              }
              DES des = new DES("基础秘钥".getBytes());
              String j = des.decryptStr(data);
              logger.debug("解码前:" + data);
              logger.debug("解码后:" + j);
              InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);
              if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){
                  return  new Result("接口失效!",false,HttpCode.STATUS_100);
              }
              String sign = getSignByFrom(Info.getFrom());
              logger.debug("来源秘钥"+sign);
              String k = des.decryptStr(Info.getData);
              dealInfo(k);
              return  new Result("成功!",true, HttpCode.STATUS_200);
          }catch (Exception e){
                e.printStackTrace();
                if(!StringUtils.isNotBlank(data)){
                    return  new Result("系统错误!",false,HttpCode.STATUS_105);
                }
          }

    }


恒之传说
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何保证API安全
Jernnifer_mao的博客
03-06 1715
最近知识星球中有位小伙伴问了我一个问题:如何保证接口安全性?根据我多年的工作经验,这篇文章从11个方面给大家介绍一下保证接口安全的一些小技巧,希望对你会有所帮助。
如何保证API接口数据安全
油墨香^-^的博客
01-05 883
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;也对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。那我们怎么去解决这些问题呢?接口签名。
如何确保API接口的数据安全和隐私保护?
最新发布
Panda_win的博客
05-03 366
综上所述,确保API接口的数据安全和隐私保护需要采取多种措施和策略,包括参数校验、访问控制、加密请求和响应、验证数据、使用安全协议和算法、数据保护和隐私、安全审计和漏洞管理、限制API的访问权限以及持续更新和优化安全策略等。确保API接口的数据安全和隐私保护是一个综合性的任务,需要采取多种措施来确保数据的机密性、完整性和可用性。- 遵循隐私法规和最佳实践,如数据最小化原则、数据保留期限等,确保用户数据的安全和隐私。- 对API接口的请求参数进行严格的校验,确保参数的有效性、合法性和安全性
API接口安全性
weixin_42117918的博客
01-16 1153
1. 什么是接口 接口简单来说就是服务器端用来返回给其他程序或者客户端数据的桥梁 2. 接口的作用 根据固定参数返回固定数据 3. API接口保障安全性原则 1.有调用者身份 2.请求的唯一性 3.请求的参数不能被篡改 4.请求的有效时间 4. 接口安全需求 1.最好必须启用HTTPS 2.signature签名 3.token登陆的唯一票据 4.验证时间戳 5.对要求...
WEB 系统中加密解密URL传输参数
07-23
网上很多人在问怎么实现Web系统URL传输(表单提交)参数加密。例如:要进行一个用户帐号编辑,要传递用户的ID,URL如下:http://localhost/mysystem/editAccounts.aspx?ID=2   但又不想让别人知道这个用户的ID为2,恶意的使用者可能还会将2修改,改为别的用户ID。   加密传递的参数值可以解决问题。
关于URL加密技术
xiaoxingchi的专栏
07-12 2468
http://www.51dj.net/dj/ 它的链接地址你能找到吗?找不到啊哈哈就连URLSnooper都无能为力:)你行吗? 服了这又是一个:http://www.djkk.com/sort.asp?classid=1 songid="1260" if(window.name!=HeiRui_Studio_Player) { alert("对不起,本站资源有限,谢绝盗链!/n谢谢您的
API接口安全思考和最佳实践
学以致用 知行合一
05-16 3804
应用程序编程接口 (API) 允许软件应用程序相互交互。它是现代软件模式的基本组成部分,例如微服务架构。 API 安全是保护 API 免受攻击的过程。由于 API 非常常用,而且它们可以访问敏感的软件功能和数据,因此它们正成为攻击者的主要目标。 API 安全性是现代 Web 应用程序安全性的关键组成部分。API 可能存在身份验证和授权损坏、缺乏速率限制和代码注入等漏洞。组织必须定期测试 API 以识别漏洞,并使用安全最佳实践解决这些漏洞。本文介绍了 API 安全测试的几......
API接口安全性设计
weixin_30460489的博客
02-16 64
摘自:https://blog.csdn.net/qq_21441663/article/details/83473959 接口安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式...
Ajax请求安全性讨论
weixin_30270889的博客
07-23 185
今天我们来讨论一下ajax请求的安全性,我相信各位在系统开发过程中肯定会绞尽脑汁的想怎样可以尽量少的防止伪造ajax请求进行攻击,尤其是开发跟用户交互比较多的互联网系统。那么就请大家来分享讨论一下你在开发过程中怎样考虑ajax安全及防止ajax请求攻击的问题。我也是一个新手,就先抛砖引玉了,写的不对的地方欢迎批评指正。 我先上两段网摘: Ajax安全防范的方法: 判断requ...
谈谈API接口安全性设计思路
Java知音
09-04 735
作者:道长www.jianshu.com/p/c6518a8f4040接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下...
URL路径加密
09-17
URL加密:地址路径需要加密,使得路径更加安全
App开放接口api安全性Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
从前端角度看ajax如何保护接口安全性
diaolanbeng0962的博客
05-16 561
一、前言   在web中,使用Ajax调用API,撇开跨域不讲,怎么做安全验证,防止别的网站调用呢?假设没有做安全保障,任何用户都可以直接访问接口,这回暴露出极大的安全隐患。 二、后端怎么做?   1、一些接口强制用户必须登录,通过查看sessionId来做判别,没登录则不返回数据或者返回401或者403;   2、cookie校验+session;   3、通过判断refer...
百度搜索结果url加密算法 python源码
Adu的博客
09-14 4382
百度url加密方式
如何设计一个安全可靠的 API 接口
cxu123321的博客
07-13 400
如何设计一个安全可靠的 API 接口? CSDN资讯 2020-07-06 09:33:47 4538 收藏 31 作者 | 阿文 责编 | 屠敏 出品| CSDN(ID:CSDNnews) 最近几年,随着RESTful API开始风靡,使用HTTP header来传递认证令牌似乎变得理所应当,通过 RESTful 的API 接口设计简化了系统架构, 减少了耦合性, 可以让所有模块各自独立的进行改进。 不过,在实际的REST API 接口设计过程中,我们需要考虑如何让鉴权变得更安全可靠,...
API接口安全性
Sujingkai的博客
04-12 1126
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。...
escape()、encodeURI()、encodeURIComponent()区别详解
weixin_34087307的博客
07-19 1837
JavaScript中有三个可以对字符串编码的函数,分别是: escape,encodeURI,encodeURIComponent,相应3个解码函数:unescape,decodeURI,decodeURIComponent 。 下面简单介绍一下它们的区别 1 escape()函数 定义和用法 escape() 函数可对字符串进行编码,这样就可以在所有的计算机上读取该字符串。 语...
统一api接口平台设计
06-02
好的,您想了解关于统一API接口平台设计的信息,我可以为您提供一些基本的概念和思路。 首先,API接口平台是一种基于网络技术的软件系统,它提供了一组标准的接口,使得不同的应用程序和系统之间可以进行数据交换和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值