接口安全性问题(面试)

最新推荐文章于 2024-05-14 14:30:00 发布
最新推荐文章于 2024-05-14 14:30:00 发布
阅读量3k 收藏 10
点赞数 3
分类专栏: 常见问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao320321/article/details/82223604
版权

                    接口安全性知识面很广,我只是写下冰上一角,只是从java开发层面去写一点自己的理解

      写这篇文档的缘由还要从我上家公司说起,离职后接到第一家公司的面试电话,简单的电话沟通后留下了面试的地点和时间,觉得这家公司还可以就去了,跑了很远的路程到了自己很想进的这家公司,面试的细节我记的不是很清楚了,已经大概有一年多了,现在能记得的就是跟标题有关系的这个面试问题.

      我说我主要做的提供接口,面试官问我你们是怎么保证接口的安全性的,我说我们接口就是加上用户的id,通过用户id来判断用户的,其实我这样的回答,现在想想其实也没有回答啥,可能我当时用户id这个也没有说吧,记得不清楚了(后来就没有后来了),在上家公司主要做的是提供接口给Android端,接口字段传用户id,其他的也没有做安全性考虑,小公司做的是水利方便,对接口的安全性方面也没有太高的要求,目前自己做的主要是支付,所以对接口的安全性有一定的要求,所以现在记录下自己理解的几点分两种:

第一种:支付系统项目中在用的处理方式:

  1:加密
      1.1:项目中是独立的支付系统,对外我们提供的接口都是加密,所以请求和返回都需要对参数进行加密,对外系统我们提供公钥和私钥,公钥解密,私钥加密,对于不同的系统公私钥是不同的(公司目前的项目是对所有的参数都进行加密),

  2:解密

       2.1:验签的目的,我的理解是在网络传输的过程中会被截取和修改,接受到对方的结果后,进行验签目的调撤销(支付系统),不同的系统可能有不同处理方式,需要根据具体的业务来处理.

    //支付中台   
        //公钥验签, 私钥解密   用公钥加密 私钥加签
    //商户系统 
        //公钥加密 私钥加签  公钥验签 私钥解密

 

第二种:支付宝,中行 ,工行第三方的处理方式

  3:加签

      3.1:将请求的报本本地+部分字段加密 组装请求对象,对方拿到后以约定好的字段和加密方式进行加密,然后和传过去的加密字段相比较,是否相等,相等则验签成功,否则失败

  4:验签

      4.1:将响应的报文本地+部分字段加密 组装响应对象,接收到后以同样的方式进行验签

这个过程中我写的都是些流程,里面的一些细节处理没有写上去,有不理解的可以留言,有时间会给回复.希望给大家面试的时候问道的时候有的说,知道思路!

请求:公钥验签,私钥解密 

返回:公钥加密 私钥加签

:公钥加密 私钥解密,我之前一直不理解这两个,分不清!  公钥验签 私钥 加签  公钥大家随便拿,但是私钥不能随便透露。

生产公私钥 ,单向的 ,调用方 和被调用方用的是相同的公私钥

 public String generateBizSecurityKeys(){
        LOGGER.info("generateBizSecurityKeys");
        Map<String, String> keysMap = new HashMap<>();
        try {
            // 获取当前系统换行符
            String lineSeparator = System.getProperty("line.separator");
            // 生成RSA的公钥、私钥
            KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
            keyPairGenerator.initialize(2048);
            KeyPair keyPair = keyPairGenerator.generateKeyPair();
            String privateKey = new BASE64Encoder().encodeBuffer(keyPair.getPrivate().getEncoded());
            String publicKey = new BASE64Encoder().encodeBuffer(keyPair.getPublic().getEncoded());
            // 替换掉换行符
            privateKey = StringUtils.replace(privateKey, lineSeparator, StringUtils.EMPTY);
            publicKey = StringUtils.replace(publicKey, lineSeparator, StringUtils.EMPTY);
            // 放入结果集合
            keysMap.put("privateKey", privateKey);
            keysMap.put("publicKey", publicKey);
            keysMap.put("success", "true");
        } catch (Exception e) {
            LOGGER.logException(e);
            LOGGER.warn("生成密钥异常:", e);
            LOGGER.logException(e);
            keysMap.put("success", "false");
        }
        // 转为Json以便返回前端
        String resJson = JsonUtil.objectToJson(keysMap);
        LOGGER.info(resJson);
        return resJson;
    }

 

 

yan0219n
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring cloud 学习之-12-分布锁-接口安全-面试
qq_34790227的博客
11-11 282
项目介绍 接口安全设计 安全问题及解决方案 数据在网络中传输,中间会经历无数路由器,而每个路由器都可以抓包。比如网约车查询用户信息中,有用户身份证,余额等信息。或者订单中用户的行程记录。 用fiddler演示一下: 打开fiddler。 浏览器访问:http://localhost:9100/api-driver/test/hello 查看fiddler中:Inspectors下 Headers。 为防止被窃取需要加密,有对称加密和非对称加密。 《加密》 看图,知道两者区别。 对称加密:两个密
分布式下,远程接口调用的安全问题
时间ヾ永恒的博客
09-07 742
初步介绍 目前很多服务都是分布式开发的,就算自己做项目,练手,也都是采用的分模块,切分端口号的操作,那么这样就必然涉及一个远程调用的问题。那么一但涉及远程调用,就需要考虑一个性能以及安全的问题,本文就是初步讲解安全的问题 本文的一个整体流程 常规业务流程分析 具体每一步的业务 针对每一步遇到问题的解决 常规业务流程分析 我们做电商平台都知道一个流程,订单与发货模块,都是分开处理的,端口号是不...
前端面试被问到网络安全怎么办?7 种前端安全攻击大解析!
qingkahui24689的博客
05-14 1780
最近有个同学面试的时候被问到了特别多相关的问题:对于我们很多开发者来说,写代码一般都会只考虑业务,对于安全方面的问题确实不会过多考虑。所以一旦面试被问到安全相关的问题,那么不知道如何回答了。①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析。
【安全面试】安全面试总结1
SunJ3t的菠萝屋
07-31 3238
这是我在面试中被问到一些问题,主要偏向基础知识,如有错误,还望指正。 1. sql注入 1. 原理 攻击者通过构造一些恶意的SQL语句,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息 2. sql注入分类 主要分为以下两类: 数字型 字符型 细分的话可以分为: 联合查询注入 多语句查询注入 报错注入 布尔型注入 基于时间延迟注入 宽字节注入 等等 3....
面试官:如何保证API接口数据安全?
AI研习社
10-05 407
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区来源:老顾聊技术前言签名流程签名规则签名的生成请求头部分请求URL地址请求Reques...
如何保证API接口安全性
repoman的博客
02-15 4501
怎样防伪装攻击 防伪装攻击:即防止接口被其他人调用,此阶段可以理解为比如已经登录了,然后在请求其他接口的时候,通过Token授权机制来判断当前请求是否有效 Token是客户端访问服务端的凭证。 Token授权机制 用户用密码登录或者验证码登录成功后,服务器返回token(通常UUID)给客户端,并将Token-UserId以键值对的形式存放在缓存服务器中。 客户端将token保存在本地,发起后续的相关请求时,将token发回给服务器; 服务器检查token的有效性,有效则返回数据,若无效,..
软件测试基本面试问题及答案
01-29
5. **系统测试**:这涉及到整个系统的全面测试,验证软件是否符合系统设计文档的要求,包括性能、安全性、兼容性和用户界面等。 6. **验收测试**:也称为用户验收测试(UAT),是用户或业务代表参与的最后阶段测试...
接口测试的面试题.docx
06-07
* POST 请求:向服务器提交数据请求,放在 body 中,无长度限制,安全性高 八、接口测试常见的状态码 接口测试常见的状态码包括: * 100:服务器接收消息,还需要继续发送请求 * 200:请求成功 * 301:永久重定向...
java面试常见问题.docx
最新发布
07-17
答案:Java的主要特性包括面向对象、平台无关性(即“一次编写,到处运行”)、自动内存管理(垃圾回收机制)、安全性、多线程支持、丰富的API以及强大的社区支持。 Java中的垃圾回收机制是如何工作的? 答案:Java...
Java面试问题2023集合
07-21
12. **不可变集合**:`Collections.unmodifiableList()`、`Collections.unmodifiableSet()`和`Collections.unmodifiableMap()`等方法创建不可变集合,防止集合内容被修改,提高代码安全性。 13. **枚举Set**:`...
Java 面试问题Java 面试问题示例
10-14
泛型提供了在编译时检查类型安全性的能力,减少类型转换错误。你可以在集合类中使用泛型,限制只能存储特定类型的元素,如List只能存储字符串。 接口是完全抽象的类,不包含实现,用于定义行为规范。抽象类可以包含...
接口安全性考虑
weixin_38923162的博客
03-09 5387
接口安全
保证接口数据安全的方案
能量守恒洛的专栏
01-10 179
再举个例子,有些小伙伴是这么实现的,将所有非空参数(包含一个包AccessKey,唯一的开发者标识 )按照升序,然后再拼接个SecretKey(这个仅作本地加密使用,不参与网络传输,它只是用作签名里面的),得到一个stringSignTemp的值,最后用MD5运算,得到sign。滑动窗口也是维护单位时间内的请求次数,其与固定窗口限流算法的区别是,滑动窗口的粒度更细,将一个大的时间窗口划分为若干个小的时间窗口,分别记录每个小周期内接口的访问次数,通过滑动时间删除小的时间窗口,以此来解决固定窗口临界值的问题
API 接口怎样设计才安全?
A_991128a的博客
02-20 1223
设计安全的API接口是确保应用程序和数据安全的重要方面之一。
我调用第三方接口遇到的13大坑
ShaoFuQiJie的博客
04-17 225
在实际工作中,我们经常需要在项目中调用第三方API接口,获取数据,或者上报数据,进行数据交换和通信。那么,调用第三方API接口会遇到哪些问题?如何解决这些问题呢?这篇文章就跟大家一起聊聊第三方API接口的话题,希望对你会有所帮助。
(造一个轮子)如何保证接口安全性
w983798109的博客
06-11 256
一:摘要 在实际的业务开发过程中,我们常常会碰到需要与第三方互联网公司进行技术对接,例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务,如果你是一个创业型互联网,大部分可能都是对接别的公司api接口。 当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢? ...
保证调用第三方接口安全性
厚积薄发的博客
07-17 2819
https://blog.csdn.net/fzy198926/article/details/93310354 https://blog.csdn.net/ityouknow/article/details/80603617 https://www.jianshu.com/p/a29ab3f97f3f
java 第三方接口安全性_提供接口给第三方使用,需要加上校验保证接口安全性(rsa加密解密)...
weixin_35943077的博客
02-27 1702
最近项目组给了一个需求,需要我这边写一个接口,给第三方使用。当时就想,这不是很简单嘛,唰唰唰,就写好了。突然想到,没有限制条件,那岂不是太不安全了,谁都可以调我这个接口了啊。然后就想了想,emmmm,ras好像可以用的啊,那就直接写写看吧。RSA的加密过程如下:(1)A生成一对密钥(公钥和私钥),私钥不公开,A自己保留。公钥为公开的,任何人可以获取。(2)A传递自己的公钥给B,B用A的公钥对消息进...
h5+api接口安全和加强接口接收数据的安全性
热门推荐
ltjy_admin的博客
05-24 1万+
api接口安全通俗易懂的意思就是保证接口接收到的数据不是被篡改的,防止信息泄露造成损失。那如何要加强接口安全性呢?一、数据加密        把h5生成的数据加密(我用的是对称加密,加密还有非对称加密),第三方加密类放到tp5框架下的extend文件夹下(我是用tp5框架做的,就以tp5框架举例了^_^),用第三方类要配好命名空间哦,加密算法可以看看这个https://blog.csdn.net...
接口测试深度解析:面试必备45题
Session存储在服务器端,安全性相对更高,但消耗服务器资源。 9. **Bug定位**:通过查看请求和响应日志、复现步骤、调用栈信息来判断是前端还是后端问题。 10. **无接口文档的接口测试**:可以通过抓包工具(如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值