如何防止app接口被别人调用

最新推荐文章于 2024-03-14 11:30:00 发布
最新推荐文章于 2024-03-14 11:30:00 发布
阅读量910 收藏 2
点赞数
文章标签: 面试 java
原文链接:http://www.cnblogs.com/Tpf386/p/5768552.html
版权

app开发的时候,如何保护app的接口呢?

用https是我想到的办法,但是不知道怎么实现,所以就考虑用token,虽然不是绝对有效,但是能防止一般的用户来攻击,高手非要攻击,只能报警了吧。

 

token=“$(参数md5|按一定规则修改的字符串|时间戳|用户Id)$”=fasdfasdfasdfasdfadfadfasd

服务器端构建一个token

服务器端的token还是很重要的,最重要的是里面有一个时间戳,当客户端将serKoken提交过来的时候,可以用时间限制,serToken的有效时间,如果不在时间限制内,或与上次的ip不同,或与上次的设备信息不同,那么就认为,url非法。

 token可靠的前提是:

1)app端不被反编译,攻击者不知道你的构造clientToken的方法;

2)服务器端serToken生成复杂,算法不被猜出,验证足以严格,限制攻击者不能伪造出服务器端token,特别短时间失效原则,限制一般攻击者没时间猜出token

 

 

客户端构建一个token:

string serToken=GetServerToken(string ip ,string userName,string deviceInfo,string tag);--dedc080af089bccd7fbdf708e3c06898    //获取一个服务器端token

string clientParmMd5=Md5("name=test&Value=123");  --a95bc463f71a08ba40e64e52d23b9284  //对参数md5

string clientIp="103.16.127.226"; //客户端ip

string deviceInfo="xxxxxxxxxx";

string userName="curAppUserName"; //当前app用户

string startStr="as11as(";

string endstr=")end";

string clientStr=startStr+clientParmMd5+"|"+serToken+"|"+clientIp+"|"+deviceInfo+userName+endStr;   //待加密的client字符串

 

string clientToken=GetClientToken(clientStr);

//发起请求

string url=xxxx.com?name=test&Value=123&token=clientToken

 

服务器端解析验证token

//解密客户端提交过来的token

分解为:"as11as(a95bc463f71a08ba40e64e52d23b9284|dedc080af089bccd7fbdf708e3c06898|103.16.127.226|xxxxxx|userName+endStr"

//解密服务器token

string serToken="dedc080af089bccd7fbdf708e3c06898";

string [] serTokenArr=DecrySerToken(serToken)

这里有一个验证服务器端token的策略,用来验证提供的服务器端token,是否还有效,如果无效直接停止后续判断操作。

//serToken验证通过,然后判断url中的参数是否被篡改,

string nowParMd5=Md5(Request.QueryString["name"]+Request.QueryString["Value"]);

string oleParMd5=clientParmMd5;

//判断如果被篡改,那么就返回提示信息,

 

注意收集客户端的信息,如果有恶意攻击,那么证据将会被保留。

如果你的app被反编译了,而且被攻击者知道了你构建token的方法,那么就只能被攻击了,报警解决吧。

 

 

 

 

 

服务器安装证书使用https或者ssl,再结合auth认证可以解决,app被别人调用的问题。

这个方案是有效的吗?

 

转载于:https://www.cnblogs.com/Tpf386/p/5768552.html

weixin_30387423
关注
Python如何写get接口或者post接口,提供给别人调用
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
01-05 8597
本文是该专栏的第6篇,后面会持续分享python的各种干货知识,值得关注。在工作上,偶尔会需要使用python给其他人写一个get接口或者post接口,让别人进行调用。那么,对于python写接口,需要使用哪个方法呢?有同学可能已经猜到了,使用flask,确实使用flask写接口非常方便。对于熟悉的同学来说,flask并不陌生。它是一个轻量级的可定制框架,使用python语言编写,较其他同类型框架更为灵活,轻便,安全且容易上手。
接口给别人调用 推送数据到我们_基于.NET Core设计多终端数据同步机制
weixin_39881802的博客
12-04 628
多终端数据同步机制设计之前写过一篇文章数据同步流程设计的文章,这里整理一下在公众号里分享一下Intro因为项目需要,需要设计一个多终端数据同步的机制, 需要满足以下条件:多个终端数据操作及同步,终端可能离线每次同步的时候只拉取需要同步的数据,且数据不能存在丢失,增量同步尽可能少的调用服务器端接口同步流程整体同步流程我想仿照Git数据同步的方式来进行数据同步,于是放着Git同步的流程来进行...
如何防止接口被重复调用,防止接口被第三方调用
阿发狗伪原创
10-29 1189
(2)用户登陆后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。(3)两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。1. 加密,时间戳,每个包要有包序号,每次同向加1,收到重复序号认为是攻击,可以抵御重放攻击。
APP接口保护方案
12-30
对于后台来说,调用URL时都会判断session是否合法,所以即使别人知道后台URL也无法调用。 但是为移动端提供webservice接口就不一样了。对移动端提供的接口都是RESTful风格的无状态接口,没有传统URL的session概念。如果只是在登录时做身份验证的话,相当于调用接口的权限由App控制。而在网络上,所有接口都对外暴露,任何人只要知道URL了就能调用,试探,甚至通过接口修改数据库
如何防止别人恶意调用API接口
热门推荐
初见-子非鱼
11-28 3万+
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su
如何防止API接口被恶意调用
靖节先生的博客
02-18 6683
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
如何保证接口安全,做到防篡改防重放?
最新发布
m0_59598029的博客
03-14 1158
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
接口如何防止被刷,教你有效的8种方法
m0_66326520的博客
02-23 2536
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口被恶意刷。
django API 中接口的互相调用实例
09-17
在Django框架中,API接口的互相调用是常见的需求,尤其在构建微服务或分布式系统时。这个实例展示了如何在一个Django API中调用另一个API。以下将详细讲解相关知识点: 1. **请求库使用**: 这个实例中使用了`...
python写接口给别人调用_接口调用 -- 基于python的Flask实现 -- 让别人调用自己写的接口...
weixin_40006963的博客
12-09 2673
往往有些时候,需要在本地将接口部署好,让别人通过网关进行访问我们的接口,进行将程序执行。。。Flask轻量级框架帮我们这个问题1.首先本地创建一个需要进行接口调用的helloword.py文件,并且使用Flask# 导入Flask类from flask import Flask# 实例化,可视为固定格式app = Flask(__name__)def create_file_function():...
Python flask框架post接口调用示例
09-19
### Python Flask 框架POST接口调用详解 在现代Web开发中,Flask作为一款轻量级且灵活的Web框架被广泛应用于Python项目中。它不仅能够支持快速搭建简单的Web应用,还提供了丰富的功能来处理复杂的Web服务。本文将...
如何防止接口被恶意访问
beausejour的专栏
03-21 4029
1. 将js代码压缩,使得代码变得不易阅读。 2. 在接口中判断访问来源,例如php使用HTTP_REFERER来判断来源,如果是直接访问接口的请求不予处理,如果是从网页调用的请求再做处理。 3. 将接口数据在php页面中动态加密后传给js文件,然后由js提交参数给接口接口解密后处理数据。
如何防止API接口被未授权的客户端调用
shelutai的博客
10-23 265
认证与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。今天我们就总结一下我们在开发接口时常用的三种安全认证方式。认证方式Baic 认证一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1188
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
php面向对象之app接口文档
SFNES的博客
10-18 762
简介 什么时候需要写app接口,在app客户端,很多地方需要调用数据,这个时候就需要用接口调用数据库的数据,在与客户端对接,把数据返回给客户端                                       数据库->数据库|缓存->调用接口->客户端; APP接口介绍  app通信接口定义需要三部分:     I:接口地址:如http://app.com/api.php?
nginx实现请求转发
weixin_33805557的博客
12-02 847
反向代理适用于很多场合,负载均衡是最普遍的用法。nginx 作为目前最流行的web服务器之一,可以很方便地实现反向代理。nginx 反向代理官方文档: NGINX REVERSE PROXY当在一台主机上部署了多个不同的web服务器,并且需要能在80端口同时访问这些web服务器时,可以使用 nginx 的反向代理功能: 用 nginx 在80端口监听所有请求,并依据转发规则(比较常见的是以 URI...
python怎么写接口给别人调用
04-30
要创建一个接口给别人调用,我们需要编写一个Flask路由。代码示例如下: ```python from flask import Flask, jsonify, request # 创建Flask应用 app = Flask(__name__) # 创建接口路由 @app.route('/api', ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值