如何打造一个安全的接口?

最新推荐文章于 2024-04-30 18:01:59 发布
最新推荐文章于 2024-04-30 18:01:59 发布
阅读量125 收藏 3
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbmzbm00/article/details/137022850
版权

如何打造一个安全的接口

在项目开发中,我们经常需要跟外部系统进行交互,然而与外部系统进行接口交互涉及到安全问题。
那么如何打造一个安全的接口呢?

该如何打造呢

我们一般会想到https交互,那么除了https呢,我们还可以使用token授权机制、sign签名机制。
接下来我主要讲一下我们常用的sign签名机制。

签名机制

我们来看一段代码:

 static String getSign(String appid, String appkey, String timestamp, String nonce, String body) throws Exception {
        byte[] data = body.getBytes("utf-8");
        InputStream is = new ByteArrayInputStream(data);
        String testSH = DigestUtils.sha256Hex(is);
        String s1 = appid+timestamp+nonce+testSH;
        Mac mac = Mac.getInstance("HmacSHA256");
        mac.init(new SecretKeySpec(appkey.getBytes("utf-8"),"HmacSHA256"));
        byte[] localSignature = mac.doFinal(s1.getBytes("utf-8"));
        String localSignatureStr = Base64.encodeBase64String(localSignature);
        return  "OPEN-BODY-SIG AppId="+"\""+appid+"\""+", Timestamp="+"\""+timestamp+"\""+", Nonce="+"\""+nonce+"\""+", Signature="+"\""+localSignatureStr+"\"";
    }

我们可以看到我们的生成我们的签名需要很多参数,接下来带大家详细讲解一下我们的参数

appid

appid是我们系统分配的唯一的可以看做是跟我们交互的应用的凭证。

appkey

跟我们的appid一一对应,这个一个系统对应一个秘钥,我们不可将秘钥泄露

timestamp

时间戳,时间戳用来校验我们的请求的时间,一般比如我们允许我们的接口的请求时间在30s,那么我们可以通过请求的时间戳来判断,如果超过允许请求的时间我们也是拒绝请求。

noce

随机数,一般我们请求的时候会随机生成一个随机数,随机数的作用是用来防止重复提交,我们一般在第一次请求的时候会将该随机数存储下来,后续请求的时候如果发现已经存在了,那么就拒绝请求。

sign

签名,签名我们一般使用256算法进行加密,加密是单向的,一般我们会将我们的appkey做为我们的盐值共同加密,只要我们的key不泄露基本解密是不可能的,这也是防止我们的数据被篡改。

zbmzbm00
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
收集和分析社区发布的CVE信息,通过各种渠道向用户进行差异化广播,为安全厂商提供多种接口,提高系统安全管理能力
01-11
cve-ease 是一个专注于CVE信息的平台,它搜集了社区发布的各种CVE信息...cve-ease 是天翼云自主创新项目,它已经在欧拉社区开放源码,期待社区的朋友们加入项目开发,共同打造一个安全、稳定、可靠的国产操作系统生态。
如何打造一个安全的服务接口
技术熊的博客小窝
09-04 1099
老A: 老大交代下来任务了,要写一套接口服务,用来查询订单的。主要接口有这么几个,登录、注册、查询用户订单、添加用户订单、删除用户订单、查询用户信息、修改用户信息、注销。小Z,这个就交给你做了,先把接口文档写一下。 小Z: 好的没问题,交给我吧。 十分钟之后····· 小Z :接口文档好了,老A你看一下 登录接口 接口地址 /login.do 请求方法 post 请求参数 username /password 返回内容 User对象 注册接口 接口地址 /
接口测试需要怎么做?
MicalChen的博客
09-11 4010
接口测试需要怎么做?什么是接口测试?接口测试到底测什么?如何进行接口测试?SSL-Pinning的问题及解决方案接口测试自动化回归测试接口自动化回归测试方案接口测试的更多可能参考文献 关注【郑大钱呀】[公][众][号],回复交流群,进群,我们一起交流,一起学习。 什么是接口测试? 在了解接口测试之前,我们需要先了解一下,什么是接口接口从分类上来说一般分为两种:一种为程序内部的接口即方法与方法、模块与模块之间的交互,程序内部的接口,如购买基金,想要购买基金就必须要登录,不登录就不能购买基金,所以这里我们发现
35 | 前端安全:如何打造一个可信的前端环境?
08-16 8343
前端的安全性一直是我们在考虑安全问题时,没有办法绕过的关键问题。今天,我就来和你聊一聊如何保护前端的安全性。 我们先来看一个攻击事件。2017 年,12306 网站被曝出有“买下铺”的功能。我们都有过买票的经历,当我们在 12306 上买卧铺的时候,是没法选择上铺、中铺还是下铺的。但是,有人去分析了 12306 的前端代码,发现里面其实包含了选铺位的功能,只是默认为随机,没有展示出来。所以,有人通过篡改前端代码,就将这个功能开放出来了。 一旦黑客能够完全摸清楚应用的前端代码,就能够任意地篡改前端的逻辑,.
如何建设一个标签库?
liudada8265的博客
12-15 2436
关于标签库笔者写过四篇文章:《百万标签发布了,这是怎样一种体验?》、《十年的标签库建设经历,我得到了什么启示?》、《如何有效推进百万标签库的治理?》、《为什么你的标签库没人用?》,主要谈了...
【深度解析】SecOC如何打造安全的车内网络通信?
怿星科技的博客
05-29 3447
在智能网联汽车高速发展下,车联网功能越发普遍,在此背景下车载通讯网络的信息安全防护机制变的越来越重要。 随着汽车对网络信息的需求提高,车载CAN网络逐渐开放了接口,导致来自外部的信息安全攻击可以通过无线网络(蓝牙、无线局域网)或者在线诊断接口来介入汽车的CAN总线网络,从而造成非法监听CAN报文,恶意修改CAN报文再重新广播等严重后果。 并且在最近几年中,新闻媒体陆续报道了多起针对汽车网络的恶意攻击行为,引发了大家的热烈讨论: · 恶意攻击是否能够实质上影响车载网络通信? · 是否可以通过车
PHPRAP,是一个PHP轻量级开源API接口文档管理系统.zip
01-17
PHPRAP,是一个PHP轻量级开源API接口文档管理系统,致力于减少前后端沟通成本,提高团队协作开发效率,打造PHP版的RAP。 软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发Node.js、C++、Java、...
PHPRAP是一个PHP轻量级开源API接口文档管理系统,致力于提高前后端协作开发效率,打造PHP版的RAP。.zip
01-17
网络与通信:数据传输、信号处理、网络协议、网络与通信硬件、网络安全网络与通信是一个非常广泛的领域,它涉及到计算机科学、电子工程、数学等多个学科的知识。 云计算与大数据:包括云计算平台、大数据分析、人工...
SSPI 打造纯API+汇编 winhttp及socket支持SSL安全连接
05-27
但是hpsocket也有各种不安逸的地方,httpsync组件读文件在网速很慢的时候要设置超大的超时时间才能全部读取完,不能读写回调,所以就萌生了一个自己打造的念头。前辈:然而自己论坛也有开源的基于OpenSSL+Socket的...
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 480
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
Linux服务器安全基础 - 查看入侵痕迹
最新发布
eagle89的专栏
04-30 885
Linux服务器安全基础 - 查看入侵痕迹
最佳实践之部署安全且具有韧性的AI系统
lurenjia404的博客
04-26 544
AI安全一个高速发展的研究领域。随着各政府、行业界和学术界发现AI技术潜在弱点以及利用这些弱点的技术,除了将传统的IT最佳实践应用于人工智能系统,他们需要不断升级更新AI人工智能系统以应对不断变化的风险。
企业如何保证内部传输文件使用的工具是安全的?
镭速的博客
04-28 670
企业内部文件的频繁交换成为了日常运营不可或缺的一环。然而,随着数据量的爆炸式增长和网络攻击手段的日益复杂,内网文件传输的安全隐患也日益凸显,成为企业信息安全的薄弱环节。本文将探讨的安全风险、企业常用的防护措施。
网络安全实训Day16
Yisitelz的博客
04-26 815
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
企业计算机服务器中了rmallox勒索病毒怎么办?Rmallox勒索病毒解密流程工具
M99W1230的博客
04-26 533
在网络飞速发展的时代,企业离不开网络,网络为企业的生产运营提供了极大便利,加快了企业进步的步伐,依靠网络可以开展各项工作业务,通过网络数据整合,可以更方便企业办公。Rmallox勒索病毒属于mallox勒索家族,属于早期的勒索病毒,随着网络技术的不断发展,mallox勒索病毒做过多次升级调整,而rmallox勒索病毒是近期新升级的勒索病毒,具有较强的攻击与加密能力,一旦被攻击很难自行破解恢复,经过云天数据恢复中心对rmallox勒索病毒的解密处理,为大家整理了以下有关该勒索病毒的相关信息。
保序加密技术:保护数据有序性的安全方案
jiamisoft的博客
04-30 395
保序加密技术是一种特殊的加密方式,它允许对加密数据进行特定的有序操作,同时保持数据的加密状态。与传统的加密技术不同,OPE允许用户在不解密的情况下,对加密的数据进行范围搜索和比较,因为加密后的数据保持了原始数据的顺序特性。
联软科技安全准入门户平台commondRetStr接口RCE漏洞复现[附POC]
薛定谔嘚喵博客
04-28 216
联软科技是全球最早的网络准入控制厂商之一,联软科技再获亿级的融资,得到资本的高度认可。联软科技安全准入门户平台 /commondRetStr接口处存在远程代码执行漏洞,攻击者可以获取服务器权限。
构建安全高效的数字货币钱包:开发指南
dapp119的博客
04-29 515
通过本文提供的开发指南,您可以更好地构建安全高效的数字货币钱包。在设计和开发过程中,始终将用户体验和安全性放在首位,以确保用户资产的安全和良好的使用体验。随着加密货币市场的不断发展,数字货币钱包将继续发挥重要作用,为用户提供便捷、安全的资产管理工具。在加密货币领域的蓬勃发展中,数字货币钱包成为了连接用户与区块链的重要桥梁。作为存储、发送和接收加密资产的工具,数字货币钱包的安全性和效率至关重要。本文将介绍如何构建一个安全高效的数字货币钱包,并提供开发指南,帮助开发者更好地实现这一目标。
Python+OpenCv调用摄像头接口打造家庭安防系统
05-31
非常好的想法!下面是一个简单的Python程序,使用OpenCV库来调用摄像头接口,实现基本的家庭安防系统。 首先,您需要安装Python和OpenCV库。然后,您可以使用以下代码来调用摄像头接口并创建一个简单的家庭安防系统: ```python import cv2 video_capture = cv2.VideoCapture(0) while True: ret, frame = video_capture.read() gray = cv2.cvtColor(frame, cv2.COLOR_BGR2GRAY) cv2.imshow('Video', gray) if cv2.waitKey(1) & 0xFF == ord('q'): break video_capture.release() cv2.destroyAllWindows() ``` 这段代码会打开电脑上的摄像头,并且将摄像头捕捉到的画面转换成灰度图像并显示在窗口中。如果您按下键盘上的“q”键,则会退出程序并关闭窗口。 接下来,您可以添加一些功能来增强安全性。例如,您可以添加一个人脸检测器,当检测到陌生人时,系统会发出警报。以下是一个简单的代码示例: ```python import cv2 video_capture = cv2.VideoCapture(0) face_cascade = cv2.CascadeClassifier('haarcascade_frontalface_default.xml') while True: ret, frame = video_capture.read() gray = cv2.cvtColor(frame, cv2.COLOR_BGR2GRAY) faces = face_cascade.detectMultiScale(gray, 1.3, 5) for (x, y, w, h) in faces: cv2.rectangle(frame, (x, y), (x+w, y+h), (0, 0, 255), 2) cv2.imshow('Video', frame) if cv2.waitKey(1) & 0xFF == ord('q'): break video_capture.release() cv2.destroyAllWindows() ``` 这段代码会使用OpenCV的人脸检测器来检测摄像头捕捉到的画面中的人脸。如果检测到人脸,则会在人脸周围绘制一个红色矩形。您可以在此基础上添加更多功能,例如将人脸图像与一个已知的人脸数据库进行比对,以检测是否为陌生人等等。 希望这能对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值