API安全接口安全设计

最新推荐文章于 2024-04-30 20:09:14 发布
最新推荐文章于 2024-04-30 20:09:14 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 1====>Java 文章标签: 安全
原文链接:https://blog.csdn.net/zhou920786312/article/details/95536556
版权

转载自: API安全接口安全设计_zhou920786312的博客-CSDN博客_接口安全

如何保证外网开放接口的安全性。

  1. 使用加签名方式,防止数据篡改
  2. 信息加密与密钥管理
  3. 搭建OAuth2.0认证授权
  4. 使用令牌方式
  5. 搭建网关实现黑名单和白名单

一令牌方式搭建搭建API开放平台

方案设计:

1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉

2第三方机构请求数据需要加上accessToken参数,每次业务处理中心执行业务前,先去dba持久层查看accessToken是否存在(可以把accessToken放到redis中,这样有个过期时间的效果),存在就说明这个机构是合法,无需要登录就可以请求业务数据。不存在说明这个机构是非法的,不返回业务数据。

3好处:无状态设计,每次请求保证都是在我们持久层保存的机构的请求,如果有人盗用我们accessToken,可以重新申请一个新的taken.

二基于OAuth2.0协议方式

 原理

第三方授权,原理和1的令牌方式一样

1.假设我是服务提供者A,我有开发接口,外部机构B请求A的接口必须申请自己的appid(B机构id)

2.当B要调用A接口查某个用户信息的时候,需要对应用户授权,告诉A,我愿同意把我的信息告诉B,A生产一个授权token给B。

3.B使用token获取某个用户的信息。

联合微信登录总体处理流程

1 :用户同意授权,获取code

2 :通过code换取网页授权access_token

3  :通过access_token获取用户openId

4  :通过openId获取用户信息

三信息加密与密钥管理

单向散列加密
对称加密
非对称加密
安全密钥管理

1单向散列加密
散列是信息的提炼,通常其长度要比信息小得多,且为一个固定长度。加密性强的散列一定是不可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。任何输入信息的变化,哪怕仅一位,都将导致散列结果的明显变化,这称之为雪崩效应。散列还应该是防冲突的,即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。
单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:
1、MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,非可逆,相同的明文产生相同的密文。
2、SHA(Secure Hash Algorithm):可以对任意长度的数据运算生成一个160位的数值;
SHA-1与MD5的比较
因为二者均由MD4导出,SHA-1和MD5彼此很相似。相应的,他们的强度和其他特性也是相似,但还有以下几点不同:
1、对强行供给的安全性:最显著和最重要的区别是SHA-1摘要比MD5摘要长32 位。使用强行技术,产生任何一个报文使其摘要等于给定报摘要的难度对MD5是2128数量级的操作,而对SHA-1则是2160数量级的操作。这样,SHA-1对强行攻击有更大的强度。
2、对密码分析的安全性:由于MD5的设计,易受密码分析的攻击,SHA-1显得不易受这样的攻击。
3、速度:在相同的硬件上,SHA-1的运行速度比MD5慢。

1、特征:雪崩效应、定长输出和不可逆。
2、作用是:确保数据的完整性。
3、加密算法:md5(标准密钥长度128位)、sha1(标准密钥长度160位)、md4、CRC-32
4、加密工具:md5sum、sha1sum、openssl dgst。
5、计算某个文件的hash值,例如:md5sum/shalsum FileName,openssl dgst –md5/-sha

2对称加密

秘钥:加密解密使用同一个密钥、数据的机密性双向保证、加密效率高、适合加密于大数据大文件、加密强度不高(相对于非对称加密)

对称加密优缺点

 

优点:与公钥加密相比运算速度快。

缺点:不能作为身份验证,密钥发放困难

DES

是一种对称加密算法,加密和解密过程中,密钥长度都必须是8的倍数

public class DES {
	public DES() {
	}
 
	// 测试
	public static void main(String args[]) throws Exception {
		// 待加密内容
		String str = "123456";
		// 密码,长度要是8的倍数 密钥随意定
		String password = "12345678";
		byte[] encrypt = encrypt(str.getBytes(), password);
		System.out.println("加密前:" +str);
		System.out.println("加密后:" + new String(encrypt));
		// 解密
		byte[] decrypt = decrypt(encrypt, password);
		System.out.println("解密后:" + new String(decrypt));
	}
 
	/**
	 * 加密
	 * 
	 * @param datasource
	 *            byte[]
	 * @param password
	 *            String
	 * @return byte[]
	 */
	public static byte[] encrypt(byte[] datasource, String password) {
		try {
			SecureRandom random = new SecureRandom();
			DESKeySpec desKey = new DESKeySpec(password.getBytes());
			// 创建一个密匙工厂,然后用它把DESKeySpec转换成
			SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
			SecretKey securekey = keyFactory.generateSecret(desKey);
			// Cipher对象实际完成加密操作
			Cipher cipher = Cipher.getInstance("DES");
			// 用密匙初始化Cipher对象,ENCRYPT_MODE用于将 Cipher 初始化为加密模式的常量
			cipher.init(Cipher.ENCRYPT_MODE, securekey, random);
			// 现在,获取数据并加密
			// 正式执行加密操作
			return cipher.doFinal(datasource); // 按单部分操作加密或解密数据,或者结束一个多部分操作
		} catch (Throwable e) {
			e.printStackTrace();
		}
		return null;
	}
 
	/**
	 * 解密
	 * 
	 * @param src
	 *            byte[]
	 * @param password
	 *            String
	 * @return byte[]
	 * @throws Exception
	 */
	public static byte[] decrypt(byte[] src, String password) throws Exception {
		// DES算法要求有一个可信任的随机数源
		SecureRandom random = new SecureRandom();
		// 创建一个DESKeySpec对象
		DESKeySpec desKey = new DESKeySpec(password.getBytes());
		// 创建一个密匙工厂
		SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");// 返回实现指定转换的
																			// Cipher
																			// 对象
		// 将DESKeySpec对象转换成SecretKey对象
		SecretKey securekey = keyFactory.generateSecret(desKey);
		// Cipher对象实际完成解密操作
		Cipher cipher = Cipher.getInstance("DES");
		// 用密匙初始化Cipher对象
		cipher.init(Cipher.DECRYPT_MODE, securekey, random);
		// 真正开始解密操作
		return cipher.doFinal(src);
	}
}
 
输出
 
加密前:123456
加密后:>p.72|
解密后:123456

3非对称加密

非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。

公钥与私钥是一对

公钥对数据进行加密,只有用对应的私钥才能解密
私钥对数据进行加密,只有用对应的公钥才能解密
过程:

甲方生成一对密钥,并将公钥公开,乙方使用该甲方的公钥对机密信息进行加密后再发送给甲方;
甲方用自己私钥对加密后的信息进行解密。
甲方想要回复乙方时,使用乙方的公钥对数据进行加密
乙方使用自己的私钥来进行解密。
甲方只能用其私钥解密由其公钥加密后的任何信息。

特点:

算法强度复杂

保密性比较好

加密解密速度没有对称加密解密的速度快。

对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多

适用于:金融,支付领域

RSA加密是一种非对称加密

import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PrivateKey;
import java.security.PublicKey;
import org.apache.commons.codec.binary.Base64;
 
 
/**
 * RSA加解密工具类
 *
 * 
 */
public class RSAUtil {
 
	public static String publicKey; // 公钥
	public static String privateKey; // 私钥
 
	/**
	 * 生成公钥和私钥
	 */
	public static void generateKey() {
		// 1.初始化秘钥
		KeyPairGenerator keyPairGenerator;
		try {
			keyPairGenerator = KeyPairGenerator.getInstance("RSA");
			SecureRandom sr = new SecureRandom(); // 随机数生成器
			keyPairGenerator.initialize(512, sr); // 设置512位长的秘钥
			KeyPair keyPair = keyPairGenerator.generateKeyPair(); // 开始创建
			RSAPublicKey rsaPublicKey = (RSAPublicKey) keyPair.getPublic();
			RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) keyPair.getPrivate();
			// 进行转码
			publicKey = Base64.encodeBase64String(rsaPublicKey.getEncoded());
			// 进行转码
			privateKey = Base64.encodeBase64String(rsaPrivateKey.getEncoded());
		} catch (NoSuchAlgorithmException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}
 
	/**
	 * 私钥匙加密或解密
	 * 
	 * @param content
	 * @param privateKeyStr
	 * @return
	 */
	public static String encryptByprivateKey(String content, String privateKeyStr, int opmode) {
		// 私钥要用PKCS8进行处理
		PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(Base64.decodeBase64(privateKeyStr));
		KeyFactory keyFactory;
		PrivateKey privateKey;
		Cipher cipher;
		byte[] result;
		String text = null;
		try {
			keyFactory = KeyFactory.getInstance("RSA");
			// 还原Key对象
			privateKey = keyFactory.generatePrivate(pkcs8EncodedKeySpec);
			cipher = Cipher.getInstance("RSA");
			cipher.init(opmode, privateKey);
			if (opmode == Cipher.ENCRYPT_MODE) { // 加密
				result = cipher.doFinal(content.getBytes());
				text = Base64.encodeBase64String(result);
			} else if (opmode == Cipher.DECRYPT_MODE) { // 解密
				result = cipher.doFinal(Base64.decodeBase64(content));
				text = new String(result, "UTF-8");
			}
 
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return text;
	}
 
	/**
	 * 公钥匙加密或解密
	 * 
	 * @param content
	 * @param privateKeyStr
	 * @return
	 */
	public static String encryptByPublicKey(String content, String publicKeyStr, int opmode) {
		// 公钥要用X509进行处理
		X509EncodedKeySpec x509EncodedKeySpec = new X509EncodedKeySpec(Base64.decodeBase64(publicKeyStr));
		KeyFactory keyFactory;
		PublicKey publicKey;
		Cipher cipher;
		byte[] result;
		String text = null;
		try {
			keyFactory = KeyFactory.getInstance("RSA");
			// 还原Key对象
			publicKey = keyFactory.generatePublic(x509EncodedKeySpec);
			cipher = Cipher.getInstance("RSA");
			cipher.init(opmode, publicKey);
			if (opmode == Cipher.ENCRYPT_MODE) { // 加密
				result = cipher.doFinal(content.getBytes());
				text = Base64.encodeBase64String(result);
			} else if (opmode == Cipher.DECRYPT_MODE) { // 解密
				result = cipher.doFinal(Base64.decodeBase64(content));
				text = new String(result, "UTF-8");
			}
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return text;
	}
 
	// 测试方法
	public static void main(String[] args) {
		/**
		 * 注意: 私钥加密必须公钥解密 公钥加密必须私钥解密
		 * 	// 正常在开发中的时候,后端开发人员生成好密钥对,服务器端保存私钥 客户端保存公钥
		 */
		System.out.println("-------------生成两对秘钥,分别发送方和接收方保管-------------");
		RSAUtil.generateKey();
		System.out.println("公钥:" + RSAUtil.publicKey);
		System.out.println("私钥:" + RSAUtil.privateKey);
 
		System.out.println("-------------私钥加密公钥解密-------------");
		 String textsr = "11111111";
		 // 私钥加密
		 String cipherText = RSAUtil.encryptByprivateKey(textsr,
		 RSAUtil.privateKey, Cipher.ENCRYPT_MODE);
		 System.out.println("私钥加密后:" + cipherText);
		 // 公钥解密
		 String text = RSAUtil.encryptByPublicKey(cipherText,
		 RSAUtil.publicKey, Cipher.DECRYPT_MODE);
		 System.out.println("公钥解密后:" + text);
 
		System.out.println("-------------公钥加密私钥解密-------------");
		// 公钥加密
		String textsr2 = "222222";
 
		String cipherText2 = RSAUtil.encryptByPublicKey(textsr2, RSAUtil.publicKey, Cipher.ENCRYPT_MODE);
		System.out.println("公钥加密后:" + cipherText2);
		// 私钥解密
		String text2 = RSAUtil.encryptByprivateKey(cipherText2, RSAUtil.privateKey, Cipher.DECRYPT_MODE);
		System.out.print("私钥解密后:" + text2 );
	}
 
}

四使用加签名方式,防止数据篡改

  1. 客户端:请求的数据分为2部分(业务参数,签名参数),签名参数=md5(业务参数)
  2. 服务端: 验证md5(业务参数)是否与签名参数相同

 

xiongxianze
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
API接口安全设计方案(已实现)
记录开发日常笔记
08-20 3811
API接口安全设计方案(已实现) 原创2021-08-03 12:36·软件老王 1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口
如何设计一个安全API接口详解
2401_83396248的博客
03-21 1247
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题?主要从以上三个方面来设计一个安全API接口。本篇文章从安全性、幂等性、数据规范等方面讨论了API设计规范。除此之外,一个好的API还少不了一个优秀的接口文档。接口文档的可读性非常重要,虽然很多程序员都不喜欢写文档,而且不喜欢别人不写文档。
接口设计-安全
cat_watch的博客
06-20 418
概述 本文介绍几种对外接口安全设计 要求 传输过程中不泄漏 传输结果可被识别 方案 数据加密 概念:针对数据传输过程中容易被抓包的问题,对关键信息进行加密操作 方案 关键信息加密,例如对密码进行MD5加密 通过对消息的结构化,对返回内容进行加密 { code:200, message:"success" data:{ //返回时对data内容进行加密 } } 将HTTP 改为 HTTP...
七、api接口安全设计
余衫马的博客
06-28 2382
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 —— 自定义注解,防止表单重复提交 参考安全|API接口安全设计(防篡改和重复调用) 参考API接口安全设计 为什么要设计安全api接口 运行在外网服务器的接口暴露在整个互联网中,可能会受到各种攻击,例如恶意爬取服务器数据、恶意篡改请求数据等,因此需要一个机制去保证api接口是相对安全的。 本项目api接口安全设计 本项目api接口安全性主要是为了请求参数不会被篡改和防止接口被多次调用而产生脏数据,实现方案主要围绕..
接口安全设计要素有哪些?
jjc4261的博客
08-06 913
概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。3.但这依然存在问题,可能会被进行恶意无限制访问,这时我们需要引入一个时间戳参数,
API 接口怎样设计安全
A_991128a的博客
02-20 986
设计安全API接口是确保应用程序和数据安全的重要方面之一。
如何设计一个安全的对外接口,老司机总结了这几点
m0_63437643的博客
05-03 602
博主之前做过恒丰银行代收付系统(相当于支付接口),包括现在的oltpapi交易接口和虚拟业务的对外提供数据接口。总之,当你做了很多项目写了很多代码的时候,就需要回过头来,多总结总结,这样你会看到更多之前写代码的时候看不到的东西,也能更明白为什么要这样做。 做接口需要考虑的问题 什么是接口 接口无非就是客户端请求你的接口地址,并传入一堆该接口定义好的参数,通过接口自身的逻辑处理,返回接口约定好的数据以及相应的数据格式。 接口怎么开发 接口由于本身的性质,由于和合作方对接数据,所以有以下几点需要在开发的时候注意
API接口安全机制设计.pdf
04-03
API网关是一个轻量的java http 接口组件,可无缝将普通的 Serive 方法转换成 http 接口。并从已下几 点来达到提高开发效率与接口质量的目的。
PHP开发api接口安全验证的实例讲解
12-18
使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口...
8互联网开放平台API安全架构设计.xmind
04-23
该xmind内容非常丰富,从如何保证外开发接口安全性出发,讲到接口安全加密传输方案,再到各种加密方法和对应场景,应有尽有,推荐下载。
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口
如何设计一个安全对外的API接口?DES RSA加密算法代码
08-27
DES RSA加密算法代码
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
最新发布
南七小僧的学海无涯
04-30 673
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 597
Linux服务器安全基础 - 查看入侵痕迹
企业计算机服务器中了rmallox勒索病毒怎么办?Rmallox勒索病毒解密流程工具
M99W1230的博客
04-26 499
在网络飞速发展的时代,企业离不开网络,网络为企业的生产运营提供了极大便利,加快了企业进步的步伐,依靠网络可以开展各项工作业务,通过网络数据整合,可以更方便企业办公。Rmallox勒索病毒属于mallox勒索家族,属于早期的勒索病毒,随着网络技术的不断发展,mallox勒索病毒做过多次升级调整,而rmallox勒索病毒是近期新升级的勒索病毒,具有较强的攻击与加密能力,一旦被攻击很难自行破解恢复,经过云天数据恢复中心对rmallox勒索病毒的解密处理,为大家整理了以下有关该勒索病毒的相关信息。
网络安全实训Day16
Yisitelz的博客
04-26 680
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
怎样设计一个安全的web api接口
02-22
设计一个安全的Web API接口,可以采取以下几种方法: 1. 使用HTTPS协议:HTTPS协议可以保证数据传输的安全性,使用HTTPS协议可以避免中间人攻击和数据泄露的风险。 2. 使用认证机制:可以使用基于用户名/密码的认证机制,或者使用令牌认证机制(比如OAuth2)来保证API接口安全性。 3. 对请求参数进行校验:可以对请求参数进行严格的校验,以避免恶意请求和代码执行攻击。 4. 使用防火墙保护:可以使用防火墙来保护API接口,防止恶意请求和攻击。 5. 定期更新API接口:应定期更新API接口,以修复潜在的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值