相对比较安全的前后端分离接口方案至少应该具备以下:
1.动态秘钥,不要吧秘钥保存在文件中,应该从服务端动态请求;
2控制相同接口相同参数只能访问一次(URL被盗了也不能访问) ,每次访问的完整数据进行MD5,后台保存需要做检查,MD5后的字符不能已经存在;
3.同源单位时间访问次数限制(防止接口被刷),对于接口的访问频率需要做控制;
4.接口访问的时间间隔校验,减少数据被篡改的可能性;
5.签名验证(防止接口数据篡改);
6.权限验证(防止越权访问)---业务;
7.黑白名单验证(防止越权访问);
8.具备公共的参数校验功能;
9.非https情况下敏感数据加密;