API接口安全性设计思路

最新推荐文章于 2024-03-21 21:29:45 发布
最新推荐文章于 2024-03-21 21:29:45 发布
阅读量328 收藏 2
点赞数
原文链接:https://segmentfault.com/a/1190000015271689
版权

在工作中经常遇见项目对接,那么该如何写一个安全的接口供给对方调用呢???

1.公共接口,任何人都可以访问调用
1.1.适合场景,公司后台整合广告管理,提供统一的接口返回给公司其他项目调用和邮件模板调用,这时候需要设计一个统一的接口,返回广告的内容。还有天气查询等场景。

 @PostMapping("/syncInfo")  
 public Result syncInfo(@RequestParam(name = "data")String data){  
       if(!StringUtils.isNotBlank(data)){  
           return  new Result("失败!",false,HttpCode.STATUS_104);  
       }  
       InfoVo infoVo = JSONObject.parseObject(data,InfoVo.class);  
       dealInfo(infoVo);  
       return  new Result("成功!",true, HttpCode.STATUS_200);  
 }

2.接口参数加密
2.1.适合场景,公司内部两个项目组进行对接,为了防止接口被暴露和伪造访问,这个时候需要对参数进行加密处理,防止接口被其他外部人员调用,一般采用desc或者aes对称加密,约定好秘钥进行对接。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          dealInfo(infoVo);  
          return  new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return  new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
}

3.接口时效性加密+接口参数加密
3.1.适合场景,内部接口加密过的数据链接被暴露,不断有相同数据对接口进行访问,这个适合需要对接口加入时间戳参数,设计失效时间解决这个问题。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){  
              return new Result("接口失效!",false,HttpCode.STATUS_100);  
          }  
          dealInfo(infoVo);  
          return new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
  
}

4.接口时效性+接口参数加密+不同来源的私钥
4.1适合场景, 当接口秘钥被泄露时,我们可以对不同的数据来源设置不同的私钥,这样即使接口秘钥被泄露,没有私钥,依然不能对接口进行操作,而且可以记录是哪个项目的秘钥被泄露,快速定位出问题的来源,且不会影响其他项目调用。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("基础秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){  
              return  new Result("接口失效!",false,HttpCode.STATUS_100);  
          }  
          String sign = getSignByFrom(Info.getFrom());  
          logger.debug("来源秘钥"+sign);  
          String k = des.decryptStr(Info.getData);  
          dealInfo(k);  
          return  new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return  new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
}
weixin_33997389
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口安全设计方案(已实现)
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
2022非常全的接口测试面试题及参考答案
06-12
POST 传输数据不可见,安全性高,倾向于向服务器提交数据。 七、响应状态码 响应状态码包括:1xx:指示信息--表示请求已接受,继续处理;2xx:成功--表示请求已被成功接收、理解、接受;3xx:重定向--要完成请求...
「译」API 安全最佳实践,不要等出事后“捶胸顿足”
HelloGitHub 的博客
10-26 1143
原文地址:API Security Best Practices[1]原文作者:Mark Michon译者 & 校正:HelloGitHub-小鱼干 & HelloGit...
如何设计一个安全API接口详解
最新发布
2401_83396248的博客
03-21 1476
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题?主要从以上三个方面来设计一个安全API接口。本篇文章从安全性、幂等性、数据规范等方面讨论了API设计规范。除此之外,一个好的API还少不了一个优秀的接口文档。接口文档的可读性非常重要,虽然很多程序员都不喜欢写文档,而且不喜欢别人不写文档。
12 个设计 API安全建议,不要等出事儿了“捶胸顿足”
m0_59598029的博客
01-07 103
虽然本质上 API 就是拿来用的,但即便某个 API 的使用者全是内部人员,它还是可能会出现安全问题。为了解决 API 安全问题,在本文我们收集了一系列 API 的最佳实践,希望你记住这些 Tips 日后在保护 API/Web 服务安全和免受入侵时,会帮助到你。
API 接口怎样设计安全
A_991128a的博客
02-20 1095
设计安全API接口是确保应用程序和数据安全的重要方面之一。
API接口安全性设计
long458的专栏
04-10 2416
接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 时间戳超时机制:用户每次
Java毕业设计-基于springboot开发的星之语明星周边产品销售网站设计与实现-毕业论文(附毕设源代码).rar
03-07
同时,项目还运用了数据库优化、缓存技术、安全性设计等先进技术手段,确保了网站的稳定性和安全性。 值得一提的是,该项目具有良好的可定制性和可扩展性。源代码结构清晰、注释详尽,方便开发者进行二次开发和功能...
基于Apache APISIX的全流量API网关.pdf
08-14
Apache APISIX 设计思路API 网关的数据面和控制面分离,通过插件机制来方便二次开发和运维,高可用,没有单点故障,安全和稳定第一,基于 Nginx 实现;mTLS 认证;敏感信息加密加盐(salt)保存,高性能:单核心 QPS ...
Java毕业设计-基于springboot开发的分布式架构网上商城--论文-附毕设源代码+说明文档.rar
03-08
同时,项目还提供了丰富的API接口,方便与其他系统进行集成和交互。 在功能方面,该网上商城实现了商品展示、购物车管理、订单处理、用户注册登录等核心功能,并通过分布式事务管理、缓存技术等手段,优化了系统...
Java毕业设计-基于springboot开发的致远汽车租赁系统--论文-附毕设源代码+说明文档.rar
03-08
这些文档不仅介绍了系统的设计思路和实现过程,还提供了系统的使用说明和维护指南,使得用户能够更好地理解和使用该系统。 总之,“基于Spring Boot开发的致远汽车租赁系统”是一个功能强大、易于定制的汽车租赁...
REST API 安全设计指南.pdf
05-12
REST API 安全设计指南。REST的全称是REpresentational State Transfer,它利用传统Web特点,提出 提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简 洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计指南》就 是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
caixiangting的博客
04-11 1482
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
API安全接口安全设计
xiongxianze的博客
11-11 1133
转载自:API安全接口安全设计_zhou920786312的博客-CSDN博客_接口安全 如何保证外网开放接口安全性。 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上accessTok...
API安全(二):API安全设计原则
weixin_43923647的博客
06-10 911
很多API安全问题的产生的根源是缺少好的API安全设计,做好API安全设计有利于提升API自身的安全性。这里将讲2条设计原则:5A原则和纵深防御原则。 一、5A原则
网络安全体系方法论
网络空间发展与战略研究
06-08 3737
安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。 本架构方法论参考了NIST Cybersecurity Framework,SABSA,ISO27000,Gartner等报告资料,并与等级保护的相关要求相结合。 一、企业网络安全体系设计总体思路 网络安全体系架构是面向企业未来网络安全建设与发展而设计。 企业网络安全体系设计总体思路:针对企业防护对象框架,通
接口api开发中安全性问题
华章酱的博客
04-26 6043
所谓接口,就是类似http://Example.com/index.php?module=users&amp;action=info&amp;user_id=333的请求,然后服务器端直接根据user_id来做相应的会员操作,这是及其危险的接口处理,等于把当前的会员系统全暴露出来了,只要对方改一下user_id既可操作所有会员对应的接口。一般在PC端,我们是通过加密的cookie来做会员的辨识和维...
统一api接口平台设计
06-02
好的,您想了解关于统一API接口平台设计的信息,我可以为您提供一些基本的概念和思路。 首先,API接口平台是一种基于网络技术的软件系统,它提供了一组标准的接口,使得不同的应用程序和系统之间可以进行数据交换和信息共享。而统一API接口平台则是针对不同的应用程序和系统,提供一种通用的API接口,以便于它们能够更加方便、快捷地集成和交互。 在设计统一API接口平台时,需要考虑以下几个方面: 1. 标准化接口设计通用的API接口,以便于不同的应用程序和系统可以共同使用。要求API接口具有一致性、可扩展性和易用性等特点,同时遵循一定的规范和标准。 2. 安全性:由于涉及到数据交换和信息共享,必须确保API接口平台的安全性。需要采取一些安全措施,如身份验证、访问控制、数据加密等,以防止恶意攻击和数据泄露等问题。 3. 高性能:由于API接口平台需要处理大量的数据流量和请求,必须具备高性能的特点。需要采用一些优化技术,如负载均衡、缓存、异步处理等,以提高系统的响应速度和性能表现。 4. 可视化管理:API接口平台需要提供一套管理界面,以便于管理员可以对API接口进行管理和监控。同时还需提供一些监控指标和报告,以便于管理员能够实时了解系统的运行情况和性能表现。 总体来说,设计统一API接口平台需要考虑多个方面的因素,包括标准化接口安全性、高性能和可视化管理等。只有将这些因素综合考虑,才能设计出一个功能强大、安全可靠、易用高效的API接口平台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值