java中如何保证接口安全的_java 如何保证接口的安全性

最新推荐文章于 2024-03-04 21:35:30 发布
最新推荐文章于 2024-03-04 21:35:30 发布
阅读量218 收藏
点赞数
文章标签: java中如何保证接口安全的
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39637397/article/details/114718843
版权

在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢?

1.签名

根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者Redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis)

在使用Base64方式的编码后,Token字符串还是有20多位,有的时候还是嫌它长了。由于GUID本身就有128bit,在要求有良好的可读性的前提下,很难进一步改进了。那我们如何产生更短的字符串呢?还有一种方式就是较少Token的长度,不用GUID,而采用一定长度的随机数,例如64bit,再用Base64编码表示:

var rnd = new Random();

var tokenData = userIp+userId;

rnd.NextBytes(tokenData);

var token = Convert.ToBase64String(tokenData).TrimEnd('=');

由于这里只用了64bit,此时得到的字符串为Onh0h95n7nw的形式,长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的(如网盘的提取码)。

2.加密

客户端和服务器都保存一个秘钥,每次传输都加密,服务端根据秘钥解密。

客户端:

1、设置一个key(和服务器端相同)

2、根据上述key对请求进行某种加密(加密必须是可逆的,以便服务器端解密)

3、发送请求给服务器

服务器端:

1、设置一个key

2、根据上述的key对请求进行解密(校验成功就是「信任」的客户端发来的数据,否则拒绝响应)

3、处理业务逻辑并产生结果

4、将结果反馈给客户端

3.第三方支持

比如spring security-oauth

有兴趣的,可以参考这篇帖子

http://wwwcomy.iteye.com/blog/2230265

weixin_39637397
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java语言的接口与类型安全
01-20
接口的两种含义:一,Java接口Java语言存在的结构,有特定的语法和结构;二,一个类所具有的方法的特征集合,是一种逻辑上的抽象。前者叫做“Java接口”,后者叫做“接口”。 在Java语言规范,一个方法的特征...
java接口安全_java 如何保证接口安全性
weixin_30449853的博客
02-12 516
在开发过程,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢?1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head的token,校验是否合法(和数据库或者Redis记录的是否一致,在登录或者初始化的时候,存入数据库/redis)在使用Base64方式的编码后,Token字符串还是有20多位,...
java接口如何防止任意调_java接口如何有效防止恶意请求
weixin_36185593的博客
02-27 698
解决方法:1.在redis数据库db0新建一个名为rd_sms_request_count表,表结构:Ip:客户请求的ipSuccess_count:成功次数Failure_count:失败次数Is_close:是否已经加入到防火墙黑名单,1是 0否 ,默认02.结合业务,判单哪个ip是恶意的,每当一个ip访问接口,按照代码返回码,如果是都是错误请求,添加到redis数据库的Failure_...
【后端-接口设计】java应用接口授权鉴权与URL防篡改详细设计
Ric的博客
10-13 2942
1. 颁发授权码 系统内部维护一系列授权码,授权码绑定接口白名单,第三方系统调用时需要`header`携带拥有权限的授权码才能访问指定某些接口。 2. 使用`MD5`签名防止`URL`被篡改 第三方客户端发起请求时对`URL`进行`MD5`加密,把签名放到请求头。系统做拦截,再次对`URL`进行MD5加密,做签名对比,签名一致即可放行。
常见的保证接口数据安全8种方案
m0_37062111的博客
01-09 4406
那么有哪些常见的保证接口数据安全的方案呢? 1. 数据加密,防止报文明文传输。 2. 数据加签验签 3. token授权认证机制 4. 时间戳timestamp超时机制 5. timestamp+nonce方案防止重放攻击 6. 限流机制 7. 黑名单机制 8. 白名单机制
业务开发时,接口不能对外暴露怎么办?
m0_71777195的博客
10-10 2496
在业务开发的时候,经常会遇到某一个接口不能对外暴露,只能内网服务间调用的实际需求。面对这样的情况,我们该如何实现呢?今天,我们就来理一理这个问题,从几个可行的方案,挑选一个来实现。
java多线程安全性基础介绍.pptx
07-25
java多线程安全性基础介绍 线程安全 正确性 什么是线程安全性 原子性 竞态条件 i++ 读i ++ 值写回i 可见性 JMM 由于cpu和内存加载速度的差距,在两者之间增加了多级缓存导致,内存并不能直接对cpu可见。 ...
JAVA_API1.6文档(文)
04-12
java.security.interfaces 提供的接口用于生成 RSA Laboratory Technical Note PKCS#1 定义的 RSA(Rivest、Shamir 和 Adleman AsymmetricCipher 算法)密钥,以及 NIST 的 FIPS-186 定义的 DSA(数字签名算法)...
线程安全Java的应用与实践.pptx.pptx
12-18
synchronized关键字是Java提供的一种内建的同步机制,它可以确保同一时刻最多只有一个线程执行该段代码,从而保证线程安全。 volatile关键字 volatile关键字可以保证变量的可见性,当一个线程修改了volatile变量的值...
Java的Runnable接口最全讲义
07-21
6.1 线程安全性概述 6.2 使用同步方法 6.3 使用同步块 6.4 使用Lock和Condition 6.5 使用volatile关键字 7. 线程通信: 7.1 使用wait()和notify()方法 7.2 使用Lock和Condition 8. 线程池: 8.1 线程池的概述 8.2 ...
api 安全
北漂猿
01-31 823
摘自: https://www.cnblogs.com/xingxia/p/api_secrute.html APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证
如何保证对外接口安全
最新发布
m0_49692893的博客
03-04 532
【代码】调用第三方接口前进行生成Token及校验Token。
java实现api接口的token,App开放接口API安全性 — Token签名sign的设计与实现详解
weixin_39936310的博客
03-22 1013
在app开放接口API的设计,避免不了的就是安全性问题。一、https协议对于一些敏感的API接口,需要使用https协议。https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。二、签名设计原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正确,则返回数据。对于获取...
Java后端部署以及与Android通信注意事项
weixin_70730532的博客
05-24 675
1 概述 本文列举了一些Android+后端Java通信/部署时的问题以及注意事项,覆盖的问题包括但不限于安全组、数据库、路径等,如果各位读者的Android端不能正常访问Java后端,希望这里的解决方案能帮助到您。 2 分类 这里将问题分为三类: Java端问题 Android端问题 其他杂项问题 先来看一下Java端可能出现的问题。 3 Java端 包括: 数据库 安全组/防火墙 404 3.1 数据库 3.1.1 驱动 注意MySQL5.7与MySQL8注册驱动时是不一样的,MySQL5.7是
java自签名程序_如何让一台机器信任一个自签名的Java应用程序
weixin_34060773的博客
02-26 316
如何让一台机器信任一个自签名的Java应用程序我正在部署一个使用JAWS的应用程序,直到2013年底,当我收到警告,它才工作,然后今天早上Java完全封锁了它。 法文的信息是:应用bloquéepar lesparamètresdesécuritéJava应用程序自动执行的版本已过时或到期。这将大致转化为:应用程序被安全设置阻止您的安全设置已阻止运行已过时或已过时的Java自签名的应用程序。语法不...
Java接口调用安全性_java编程接口调用安全性都有哪些要求
weixin_39889329的博客
03-02 801
接口调用是我们在使用java编程开发语言的时候会经常使用到的一个功能,而今天我们就通过案例分析来了解一下,java编程接口调用安全性都有哪些要求。1、调用接口的先决条件-token获取token一般会涉及到几个参数appid,appkey,timestamp,nonce,sign。我们通过以上几个参数来获取调用系统的凭证。appid和appkey可以直接通过平台线上申请,也可以线下直接颁发。app...
保证对外接口安全性的措施
qq_37149892的博客
12-13 3498
前言最近有个项目需要对外提供一个接口,提供公网域名进行访问,而且接口和交易订单有关,所以安全性很重要;这里整理了一下常用的一些安全措施以及具体如何去实现。安全措施个人觉得安全措施大体来看主要在两个方面:一方面就是如何保证数据在传输过程安全性;另一个方面是数据已经到达服务器端,服务器端如何识别数据,如何不被攻击;下面具体看看都有哪些安全措施。1.数据加密我们知道数据在传输过程是很容易被抓包的,如果直接传输比如通过http协议,那么用户传输的数据可以被任何人获取;所以必须对数据加密,常见的做法对关键字段加
接口安全处理
一零贰肆的博客
04-05 818
在我们日常开发,存在一些接口是敏感且重要的,比如充值接口,如果在你调用充值接口的时候被别人抓包了,然后就可以修改充值的金额,本来充值10元可以改成充值10w,产生重大生产问题,再或者说被被人抓包了,别人可以不限制的调用该充值10元的接口,调用几万次,也是会导致重大问题,那么我们该如何保证接口安全呢?说到数据加密,我们不难想到使用HTTPS进行传输,HTTPS使用了RSA和AES加密的方式保证了数据传输安全问题,具体的HTTPS的加密原理,请看。,所以一般转账类安全性要求高的接口开发,都需要。
android_iphone和java三个平台一致的加密方法_Android、iPhone和Java三个平台一致的加密工具...
weixin_27918373的博客
02-27 86
////DES3Util.m//lx100-gz////Createdby柳峰on12-9-17.//Copyright2012http://blog.csdn.net/lyq8479.Allrightsreserved.//#import"DES3Util.h"#import#import"GTMBase64.h"#definegkey...
java如何保证数据安全_java高并发下怎么保障数据安全?有哪些办法?
06-09
Java 保证数据安全主要有以下几种方法: 1. synchronized 关键字:使用 synchronized 关键字可以实现线程之间的同步,保证同一时刻只有一个线程可以访问共享数据,从而避免数据不一致的情况。 2. volatile 关键字...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值