精彩牛耳,用心缔造

牛耳教育IT培训:带你详解API接口安全

作者: 编辑: 来源: 发布日期: 2019.12.19
信息摘要:
长沙java培训之API接口安全详解----长沙牛耳教育

API安全机制

为什么要保证API安全

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:

Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。

时间戳超时机制:用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效,这个时间要保证足够完成本次请求的同时尽量短,可以减少缓存服务器的压力(见签名机制)。

签名机制:将Token和时间戳加上其他请求参数就行MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据为本次请求的签名sign,并将该签名存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致(这就是为什么要尽量短,二者时间一致可以保证无论在timestamp规定时间内还是外本URL都只能访问一次)。服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。同一个签名只能使用一次,如果发现缓存服务器中已经存在了本次签名,则拒绝服务。

防止别人随便调用你的api

保证传输数据的安全

前后端分离mvvm模式的N宗罪;

5分钟搞定密码学的对称/非对称加密;

接口签名,防止数据篡改之泰斗;

用代码告诉你,令牌实现身份认证;

优雅处理身份认证,让业务代码更6;

数据加密

0NEMuTHSNu

加密方法

1,对称加密

AES,3DES,DES等,适合做大量数据或数据文件的加解密。

2,非对称加密

如RSA,Rabin。公钥加密,私钥解密。对大数据量进行加解密时性能较低。


Api有哪些安全问题?http接口—前后端分离mvvm


2

安全够了吗,还有哪些要做?


3

身份认证—token令牌


4


5

身份认证的封装—cookie隐式携带token


6

传输安全

互联网发展到今天,大家越来越重视自己的隐私,各大公司也越来越重视数据的安全。传输过程中的数据安全解决方案主要是“HPPTS”,能够有效防止中间人攻击等。但是API中重要的参数还是要进行加密,常用DES或者AES进行加密。有见过API中密码直接MD5后就行传输,但是MD5在2009年谢涛和冯登国仅用了220.96的碰撞算法复杂度,破解了MD5的碰撞抵抗,该攻击在普通计算机上运行只需要数秒钟,引自[维基百科]。

总结

安全是一个永恒的话题,随着各大网站全站https的推进,安全也越来越被重视。签名设计大家必须有,HTTPS希望大家有。

长沙牛耳教育是一家专业从事IT培训有着多年教学经验的培训机构,常年开始java培训班、软件测试培训班,欢迎有培训需求的朋友联系!

牛耳推荐资讯
IT学子们请像高考冲刺那样,圆我们的IT梦

IT学子们请像高考冲刺那样,圆我们的IT梦

还记得当年高考前教室后面的标语吗?还记得模拟考成绩出来后的悲与欢吗?还记得那最后100天我们内心的充实吗?然而随着大学生活的流式,那些埋藏在我们内心深处的美好记忆也随之消逝。各位IT专业的学子们,你们是否也是满怀期待的选择计算机专业,是否也是因为学电脑很有前途,因为现在IT行业发展火爆?确实T行业需要......
2020-01-06
长沙IT培训---计算机系实习的我们该何去何从

长沙IT培训---计算机系实习的我们该何去何从

又是一年实习季,到了这个时候就想起了当年的小编自己,没有其他词语比迷茫着两个字更加能代表自己的心情了。随着互联网经济的不断发展,IT技术也随之不断的更新、更迭,IT行业俨然成为了21世纪最火的行业之一。但是不是学计算机的人又哪懂我们计算机系的苦呢?从入学到毕业我们大大小小有七八个方向可以选择,有时候......
2020-01-06
长沙IT培训---其实转行就那么简单

长沙IT培训---其实转行就那么简单

最近我看到了一篇文章,文章的内容是关于华为公司大规模裁员的,大概的意是说,华为公司宁愿冒着赔偿10亿的风险,也要开除公司内部的7000多名“闲职”人员。看了这篇文章之后,我的感受颇深,文章有一句话很犀利:“时代抛弃你,从来都不会打招呼”,我觉得我需要正视下自己了,觉得必须要保持持续学习的习惯,否则说......
2020-01-06

咨询热线

400-0731-162
  
    • *

    • *