短信平台接口安全控制

最新推荐文章于 2024-08-08 16:15:46 发布
最新推荐文章于 2024-08-08 16:15:46 发布
阅读量186 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/buguge/p/9296621.html
版权
摘要:从应用层面和运维层面(协议层)同时做安全控制

 

短信平台提供给公司业务系统的短信下发接口是一个get方式的http协议的url:

http://a.b.com/SmsSend?acc=exampleacc&pwd=kx%ek@704xoek@*&phone=12345678910&content=%E8%BF%99%E6%98

 

这个url暴露了下发短信的系统账号和密码。而且,站点配置了二级域名,所以一旦被盗用,很容易出现短信盗刷。安全方面必须要控制一下。

 

我想的是使用信息签名。url参数去掉pwd,不让它作为传输用,让消费端保留在自己的服务器中。然后,增加一个请求时间reqtime,14位的yyyyMMddHHmmss时间戳。然后基于acc、reqtime、phone的值,再加上pwd来进行md5运算作为通讯的签名(sign参数)。即最终将上面的url改为:

http://a.b.com/SmsSend?acc=exampleacc&reqtime=20180711202552&sign=64558E73E36581D74C6B708BB5E840EF&phone=12345678910&content=%E8%BF%99%E6%98

 

考虑到调用短信接口的业务系统较多,而且一些老的系统也没有人在维护,所以这个方式只对目前在运营的系统的短信账号来做改造,同时兼容老系统的调用。

 

今天跟另一个同事讨论。他同时提了个建议。让运维做IP白名单。因为短信平台只提供给公司内部的业务系统,所以做个IP白名单就好了,其他非法IP的请求直接拒之门外。


这样,我把上面的短信接口(http://a.b.com/SmsSend)提供给运维,他在Nginx做好配置,服务器层面得到了保障。同时,日后再结合我上面应用层面的安全控制,就比较完美了。

 

转载于:https://www.cnblogs.com/buguge/p/9296621.html

weixin_30642561
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud 微服务开放平台接口
小尾寒羊的博客
07-31 1879
一、什么是开放平台接口 场景 : 总公司与子公司 对接接口 还有一些合作伙伴 总公司 提供接口 1、能够获取到哪个子公司调用 2、授权机制,能够灵活控制接口调用权限。 例:阿里和顺丰闹矛盾,顺丰把权限修改阿里巴巴就不能调用接口。 很多公司都有开放平台接口可以供我们练习使用的哈哈:比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫码登陆。都提供了...
java接口安全怎么处理_Restful API 接口安全性设计
weixin_35701002的博客
02-26 958
1.API接口设计规范2.安全性设计a.白名单限制仅接受特定系统的请求响应,调用方的IP地址需要在本系统中报备,否则无法调用b.合法身份合法性验证Basic Authentication :这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。TOKEN认证:这种方式也是再HTTP头中,使用 Author...
短信接口安全防护策略
写个代码 扯个闲淡
08-21 1760
1. 限制同设备标识,同IP,同手机号的发送次数 增加短信接口的流控,通过请求获取用户设备标识,IP,及手机号的信息,用户这三个属性有一个相同,则认为是同一客户端。针对同一客户端,限制每个客户端单位时间内调用短信接口的次数,如一分钟调用一次。 2. 设置设备标识,IP,手机号的黑名单 单位时间内同一设备标识,IP或者手机号访问短信接口的次数大于某一阈值时,将该标识加入到黑名单列表中。对于已被
短信接口怎么对接最安全?如何防止盗刷?
qq_31949853的博客
12-12 2763
大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。 发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。 如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。 如何防止短信接口被滥用、盗用? 1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,刷新后又能获取) ...
网络安全中接口测试的解决方案
LiBai'S BLOG
12-06 1万+
接口即API:Application Programming Interface,即应用程序编程接口接口就是一个位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。接口测试是测试系统组件间的接口,主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查接口参数传递的正确性,接口功能实现的正确性,输出结果的正确性,以及对各种
Delphi7 RSA加密解密 json解析 大华平台接口
01-20
最后,关于**大华平台接口**,这通常指的是大华公司提供的API服务,允许开发者通过编程方式访问和控制其设备或系统。接口可能包括获取部门信息这样的功能,这涉及到HTTP请求的发送和响应的处理。在Delphi7中,可以...
Delphi XE IDHTTP短信平台接口文档
04-14
综上所述,《Delphi XE IDHTTP短信平台接口文档》不仅涉及到HTTP通信和JSON数据交换,还涵盖了接口设计、版本控制、安全性等多个方面,为开发者提供了在Delphi环境中实现短信服务和快递查询服务的全面指导。
华数云梯平台-应用访问控制接口规范20150310V0.3.pdf
04-01
综上所述,《华数云梯平台-应用访问控制接口规范20150310V0.3》是华数云梯平台开发和维护的重要技术文档,它为开发者提供了与云梯平台进行安全、有效通信的指导,确保了平台服务的稳定性和用户体验。通过遵循此规范...
短信平台接口设计概要
05-11
短信平台接口设计概要主要涉及的是在金融交易系统中,如何通过短信服务进行信息传递和风险控制的详细设计。本文将深入探讨该设计的关键环节,包括总体结构、流程设计以及主要节点的交互机制。 1. 总体设计 短信平台...
乐橙开放平台接口对接资源
09-06
乐橙开放平台接口对接资源是面向开发者提供的一个平台,它允许第三方应用与乐橙设备和服务进行集成,实现数据交互和功能扩展。通过这些接口,开发者可以轻松地将乐橙的智能硬件,如监控摄像头、门锁等,整合到自己的...
短信接口调用-手机短信,验证码
热门推荐
J.Anson的博客
01-21 2万+
本文章短信平台接口基于中国网建SMS短信平台API,相关网址为点我打开--->中国网建SMS短信平台。注册后即可立即使用,无信息审核验证延迟。     通过中国网建第三方API发送一条短信,需要知道以下信息:用户注册时的Uid:用户名,key:短信密钥,smsMob:用户接收短信的电话号码,smsText:短信内容。获取以上信息后,配置短信平台demo,即可完成短息发送。其中,Uid以及短信密钥
接口安全控制 (JWT) JSON Web Tokens
Fanbin168的专栏
03-23 728
前言 如果你的接口是开放的,谁都可以成功调用,那么会非常危险。因此除非你真的想做开放式服务,否则要对用户的请求做权限控制 举例:假如我想自己写一个“张三版新浪微博”的APP。 新浪微博开放了微博的接口,所有人可以调用这些接口“发微博”、“看微博”等。当然不是随便调用,而是要到新浪微博的开放平台后台申请一个AppKey(或者AppId),申请成功后,新浪微博就会分配一个AppKey和一个App、A...
SMS短信通API下行接口参数
weixin_34245169的博客
07-21 495
为什么80%的码农都做不了架构师?>>> ...
Linux磁盘管理与文件系统(一):磁盘、MBR与分区和文件系统
最新发布
shyuu的博客
08-08 1021
Linux磁盘管理与文件结构(一),理论讲解磁盘结构、MBR与分区和文件系统
SSH免密登录
weixin_63793386的博客
08-08 287
输入:ssh-copy-id root@host12(注意@后边应该填写你要免密登录的ip地址,我写host12是因为我在Ansible_server服务器上的/etc/hosts配置了IP地址和对应的主机名的映射关系。现需要在ansible_server服务器上登录到host12上。若要实现两者互信只需要在host12重新执行一遍上述操作即可。出现上述图片就已经说明成功了。输入:ssh-keygen。
K8S Ingress 常用配置
小五
08-08 1209
本次所有操作都是在K8S 1.26.14 上面操作,太老的版本不知道会不会有问题。更多 Ingress 配置请查看ingress-nginx 官网定义服务托管页面后段程序(为了演示使用 nginx 部署)。部署自定义页面 配置文件。
网上收付平台接口规范与安全指南
本文档详细阐述了新汇支付接口的技术和业务要求,供互联网商户接入网上收付平台时遵循。主要涵盖了接口请求和响应的格式、字段约定、编码方式、特殊参数说明以及安全措施。 首先,商户接入流程包括申请开通商户号,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值