接口安全解决方发

安全是接口安全中最重要的问题,先讲思路,后面挨个代码实现。

1、接口安全校验分析

1、Http接口是互联网各系统之间对接的重要方式之一

使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;

2、目前国内互联网公司主要采用两种做法实现接口的安全

一种是以支付等支付公司为代表的私钥公钥签名验证机制,一种是大量互联网企业都常采用的参数签名验证机制;

3、前后端分离中的接口安全

前面两种基本都是应用在服务与服务之间的传输,但是在前后端分离项目中,浏览器F12就可以清楚看到请求和响应的数据,比如登录这类的功能如何保证用户密码安全,一些敏感数据,请求和响应数据都要加密传输,如何实现?

2、接口安全几种方式

1、 完全开放的接口

有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。实话说,这样的接口我们天天都在接触,你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口。我把这称之为裸奔时代。

2、接口参数加密(基础加密)

你写个接口,你只想让特定的调用方使用,你把这些调用的人叫到一个小屋子,给他们宣布说我这里有个接口只打算给你们用,我给你们每人一把钥匙,你们用的时候拿着这把钥匙即可。这把钥匙就是我上文说到的参数加密规则,有了这个规则就能调用。

如下举例:

  • 第1步: 将所有参数(除去sign本身),按参数名字母升序排序;
  • 第2步: 然后把排序后的参数按:参数1=值1&参数2=值2…&参数n=值n(这里的参数和值都是是传输参数的原始值,不是经过处理的)的方式拼接成一个字符串;
  • 第3步: 把分配给接入方的验证密钥key拼接在第2步得到的字符串后面;
  • 第4步: 计算第3步字符串的md5值,使用md5值的16进制字符串作为最终sign的的值;

比如传输的数据是:

http://www.xxx.com/interfaceidCard=110819000000000000&phone=13700000000&bankCard=6232898709123216&sign=sign_value

其中sign参数对应的sign_value就是签名的值;

第一步,拼接字符串,首先去除sign参数本身,剩下的为:

idCard=110819000000000000&realName=张三&phone=13700000000&bankCard=6232898709123216

然后按参数名字符升序排序:

bankCard=6232898709123216&idCard=110819000000000000&phone=13700000000&realName=张三

第二步,然后做参数名和值的拼接,最后得到:

bankCard=6232898709123216&idCard=110819000000000000&phone=13700000000&realName=张三

第三步,在上面拼接得到的字符串前加上验证密钥key,我们假设是abcdefg,得到新的字符串:

bankCard=6232898709123216&idCard=110819000000000000&phone=13700000000&realName=张三&key=abcdefg

第四步,然后将这个字符串进行md5十六进制计算,假设得到的是opqrst,该值即为sign签名值;

注意:这种参数排序的方式只是其中一种方式, 就是一个规则,也可以用其他方式加密签名

3、接口参数加密+接口时效性验证

一般达到这个级别已经非常安全了

该种机制与上一种机制一样;只是在参数中新增一个时间戳,接口方验证时间戳是否在允许的时间范围内;

继上一步,你发现有不明不白的人调用你的接口,你很不爽,随即把真正需要调用接口的人又叫来,告诉他们每天给他们换一把钥匙。

和往常一样,有个别伙伴的钥匙被小偷偷走了,小偷煞费苦心,经过数天的踩点观察,准备在一个月黑风高的夜晚动手。

拿出钥匙,捣鼓了半天也无法开启你的神圣之门,因为小偷不知道你天天都在换新钥匙。

4、接口参数私钥签名公钥验签

这个级别可以说是固若金汤

这是一种更为安全的方式,它通过私钥和公钥实现接口的安全,目前互联网中主要是以支付宝为代表的公司采用这种机制(有很多开放平台也是采用这种机制);这种签名方式通过4把密钥来实现;

客户端应用私钥

客户端应用公钥

服务端应用私钥

服务端应用公钥

5、接口参数签名+Https

该方式是在第2或3种方式的基础上添加https,https需要在服务器上进行配置;

6、接口参数加密+时效性验证+私钥

达到这个级别安全性固若金汤

继上一步,你发现道高一尺魔高一丈,仍然有偷盗事情发生。咋办呢?

你打算下血本,给每个人配一把钥匙的基础上,再给每个人发个暗号,即使钥匙被小偷弄去了,小偷没有暗号,任然无法如愿,而且这样很容易定位是谁的暗号泄漏问题,找到问题根源,只需要给当前这个人换下钥匙就行了,不用大动干戈。

7、接口参数加密+时效性验证+私钥+Https

我把这个级别称之为金钟罩,世间最安全莫过于此

继上一步,我们给传输机制改为Https,这下小偷彻底懵逼了。

当然:安全是相对的,只有相对的安全,没有绝对的安全!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/25087.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

多层网关已成过去,网关多合一成潮流,网关改造正当时丨Higress 正式发布 1.0 版本

作者:Higress 团队 01 前言 K8s 通过 Ingress / Gateway API 将网关标准化,逐步将安全网关、流量网关、微服务网关内聚,解决从单体到微服务到云原生多层网关的复杂度,合久必分,分久必合,多层网关已成过去…

(3)NUC980 kenerl编译

解压 用到的配置文件位置: /NUC980-linux-4.4.y-master/arch/arm/configs/nuc980_defconfig 执行: 编译linux内核源码。了解其 配置文件在 arch/arm/configs/nuc980_defconfig (1) make nuc980_defconfig 载入配置文件 (2) make menuconfig --->Devi…

SAP MM 根据采购订单反查采购申请

如何通过采购订单号查询到其前端的采购申请号。 首先从采购申请的相关报表着手,比如ME5A, 发现它是可以满足需求的。 例如:如下的采购订单, 该订单是由采购申请10003364转过来的。 如果想通过这个采购订单找到对应的采购申请,在…

Python3中goto的用法

Python3代码指定跳转可以使用goto这个库: 安装: pip install goto-statement 一般安装的版本是1.2 需要做以下修改才能正常使用: python 使用goto,遇到的问题解决_奶嘴偷走初吻的博客-CSDN博客python goto 出现报错:Attribut…

情绪管理ABC法

情绪管理ABC法 是由著名心理学家艾利斯(Albert Ellis)提出的一种情绪管理方法。 模型介绍 情绪,不取决于发生的事实,取决于我们如何看待这件事ABC理论认为,我们的情绪©,其实与发生的事件(A)无关&…

类的成员之:构造器(构造方法)

1.构造器的特征: 它具有与类相同的名称它不声明返回值类型。(与声明为void不同)不能被static、final、synchronized、abstract、native修饰,不能有return语句返回值 2.构造器的作用: 1.创建对象2.初始化对象的…

PID算法在流量控制中的应用

目录 增量式或位置式 目录 增量式或位置式 PID控制周期 T1 时间 T2 约4ms PID C代码 最近有小伙伴向我提问关于PID的问题:通过比例阀控制水流速度(流量), 使用增量式还是位置式 PID?他的比例法驱动频率是500Hz…

linux环境搭建

🎈个人主页:🎈 :✨✨✨初阶牛✨✨✨ 🐻推荐专栏: 🍔🍟🌯C语言进阶 🔑个人信条: 🌵知行合一 🍉本篇简介:>:介绍学习如何使用云服务器搭建Linux的环境. 前言 linux介绍…

【计算机网络中ip概念总结】【平时我们说的ip 到底是什么】【计算机网络中 ip地址是什么】

专注 效率 记忆 预习 笔记 复习 做题 欢迎观看我的博客,如有问题交流,欢迎评论区留言,一定尽快回复!(大家可以去看我的专栏,是所有文章的目录)   文章字体风格: 红色文字表示&#…

Linux系统之编译安装python3

Linux系统之编译安装python3 一、python3介绍1. python3简介2. python3特点 二、检查本地环境1. 检查本地操作系统版本2. 检查内核版本3. 检查当前python版本 三、安装前准备工作四、下载python最新版本源码包1. 访问python官网2. 创建下载目录3. 下载python源码包4. 解压pytho…

Redis 常见面试题

1. 认识Redis Redis是一个开源的内存数据结构存储,Redis是一个基于内存的数据库,对数据的读写都在内存中完成,因此数据读写速度非常快,常用于缓存,分布式锁等,MySQL的表数据都存储在 t_order.ibd&#xff…

国内可以免费使用的GPT

一、wetab新标签页 教程:https://diwlwltzssn.feishu.cn/docx/MnHhdvxATomBnMxfas2cm8wWnVd 装GPT界面:https://microsoftedge.microsoft.com/addons/detail/wetab%E5%85%8D%E8%B4%B9chatgpt%E6%96%B0%E6%A0%87%E7%AD%BE%E9%A1%B5/bpelnogcookhocnaokfp…

华为OD机试真题(Java),跳跃游戏 II(100%通过+复盘思路)

一、题目描述 给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。 每个元素 nums[i] 表示从索引 i 向前跳转的最大长度。换句话说,如果你在 nums[i] 处,你可以跳转到任意 nums[i + j] 处: 0 <= j <= nums[i]0i + j <返回到达 nums[n - 1] 的最小跳跃…

C++学习笔记(四): 类、头文件、对象

一个类定义了一个类型&#xff0c;以及与其关联的一组操作。所谓类&#xff0c;是用户自定义的数据类型。 类机制是C最重要的特性之一。实际上&#xff0c;C最初的一个设计焦点就是能定义使用上像内置类型一样自然的类类型&#xff08;class type&#xff09;。 类的定义一般分…

Java之旅(三)

Java 输出&#xff1a;println()、print() 使用 println() 方法在 Java 中输出值或打印文本。 System.out.println("Hello World!"); println() 可以根据需要添加任意数量的方法。请注意&#xff0c;它将为每个方法添加一个新行&#xff1a; System.out.println(&…

Unity2D骨骼动画制作之单张图片编辑

1、打开骨骼制作面板 在Sprite Editor左侧选项&#xff0c;选择Skinning Editor 2、 &#xff08;1&#xff09;骨骼制作 Preview Pose 预览模式&#xff0c;可以预览动作并不会真正的改变设置 Reset Pose 将角色骨骼和关节恢复到原始位置 Edit Bone 编辑骨骼&#xff0c;…

SUSE系统上安装HANA

一:安装SUSE操作系统 1.1 准备安装镜像 SLE-15-SP1-安装程序-DVD-x86_64-GM-DVD1 SLE-15-SP1-软件包-x86_64-GM-DVD1 SAP HANA安装文件 IMDB_SERVER20_032_0-80002031.SAR 1.2 引导系统 1.3 选择要安装的产品 SUSE Linux Enterprise Server for SAP Applications 15 SP…

【MySQL】MySQL间隙锁--幻读解决原理

文章目录 一、间隙锁概念二、测试间隙锁范围加锁三、测试等值间隙锁 一、间隙锁概念 当我们用范围条件而不是相等条件检索数据&#xff0c; 并请求共享或排他锁时&#xff0c;InnoDB 会给符合条件的已有数据记录的索引项加锁&#xff1b;对于键值在条件范围内但并不存在的记录…

chatgpt赋能python:用Python做股票分析

用Python做股票分析 在当今的股市中&#xff0c;数据分析和预测已经变得十分重要。Python作为最流行的编程语言之一&#xff0c;不仅易于学习&#xff0c;还有非常强大的数据处理和分析能力。在本文中&#xff0c;我们将探讨如何用Python进行股票分析。 数据收集 要进行股票…

如何利用宝塔面板快速搭建Wordpress网站?

本章教程&#xff0c;主要介绍一下&#xff0c;如何利用宝塔面板快速搭建Wordpress网站。 目录 一、 前置条件 二、 打开宝塔面板 三、解析域名 四、安装界面 五、主题安装 六、网站预览 一、 前置条件 需要准备一台Linux服务器&#xff0c;系统版本使用centos 7.X。 使用…
最新文章