最近做的金融项目,app调用的接口需要做一个身份认证,所以找了下目前API services验证的几种方式。之前翻译的一篇文章——[译]移动API安全终极指南中,主要提出了API服务调用验证的问题,通过添加认证,防止API滥用。里面提到了基本的HTTP Basic Authentication、OAuth2.0以及JWT这三种验证方式,同时对这三种认证技术的原理做了大致的梳理。那么这篇文章主要介绍一下这几种认证方式的使用环境以及别的一些方法用于API接口调用认证。

下面就列举一些常见的认证方式和应用,有些大厂的验证方法和常见的验证协议是值得我们学习的。

1. 类似HTTP Basic Authentication

随意在网上搜索公共API服务,比如下图中的百度基站查询的接口。

这种接口一般付费之后会获取到一个apikey,通过apikey进行请求。和HTTP Basic Authentication类似,需要把apikey这个字段写入HTTP header中,服务器验证后,返回相应的结果。

总结:也许是因为公共api的原因吧,所以验证的方式比较简单。下面会讲到,同样是百度的api,在获取地理数据方面,验证方式会严格很多。当然即便是有人恶意抓包获取到付费用户的apikey,也不会造成太大的危害。这类型的接口一般都有当天最大的请求次数,同时用户也很容易发现。

参考:

2. 百度LBS接口加密的方式

上图是百度地图中的API服务,通过IP来获取获取位置信息。

他的加密方式如下:

首先,购买了此服务的开发者会拿到ak(apikey)和sk(secretkey)。接口调用时除了公共参数之外,还需要ak和sn两个参数。sn是一个用特定算法生成的加密串。

sn生成算法

  1. url后的参数根据键值的字典排序(get不需要),拼接成字符串,utf-8编码。
  2. 拼接sk后再utf-8编码
  3. md5编码。

服务器接收到参数后,通过开发者的ak获取到sk,再根据上述操作,生成sn进行比对,验证通过后,调用相应的接口返回结果。

总结:这种方法提到了ak和sk,有一种RSA的味道,安全性显然比上一种强很多。由于私钥是不传播的,只要做好秘钥管理,应该还是比较难破解的。

参考:

3. OAuth2.0

原理不多讲,两次握手获取认证,授权获取相关资源。好像app上用到的不多,最多的应用是在复杂系统的单点登录和第三方登录上(可参考微博、QQ登录,微信公众号授权等)。

参考:

4. 类似OAuth2.0的access_token和refresh_token

熟悉OAuth2.0的开发者都知道,整个授权流程。

  1. 授权获取code。
  2. 通过code获取access_token和refresh_token。
  3. 根据access_token请求资源。

那么问了杭州某移动互联网公司的小伙伴他们认证方案。结果就是简化版的OAuth2.0。

  1. 用户登录后,后台签发access_token和refresh_token。
  2. access_token过期后使用refresh_token进行刷新。
  3. refresh_token过期,app提示重新登录。类似OAuth2.0的重新授权。

5. JWT

JSON Web Token,2015年出的一个标标准(RFC 7519)。

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Message Authentication Code (MAC) and/or encrypted.

简单来讲就是一个加密串,和传统的token不同,这个加密串不是nosense,而是可以解密成两段json数据。加密串如下所示,点分三段式结构。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

解密后分为两段json:

{

  'typ': 'JWT',

  'alg': 'HS256'

}

{

  "sub": "1234567890",

  "name": "John Doe",

  "admin": true

}

综上JWT的形式是这样的:

[json1 base64加密].[json2 base64加密].[(json1加密后+json2加密后+secret) sha256加密]

总结:详细的原理可以看那篇我翻译的文章。那么和传统的token相比就很有优势了。当移动app登录,API服务器获取用户的ID加上过期时间等信息生成JWT,签发给app。下次app调用API附带JWT,服务端解析后,返回结果。由于所有的信息都存在JWT中,也就不需要使用数据库存储和查询,这些额外的开销了。

参考:

总结

目前看到的认证方式基本上就是以上这几种,当然还有上述几种的组合,例如OAuth2.0+JWT。服务器对API的使用者进行认证,虽然增加了一定的工作量,但是对整个系统的安全性还是有提高的。

几种移动app API调用认证方案浅析的更多相关文章

  1. api签名认证方案

    微信签名算法 token (自己后台配置) nonce:随机数 signature:签名 echostr:返回字符串 https://mp.weixin.qq.com/wiki?t=resource/ ...

  2. Web APi之认证(Authentication)两种实现方式后续【三】(十五)

    前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不进则退,之前学的东西没怎么用,也忘记了一点,不过至少由于是切身研究,本质以及原理上的脉络 ...

  3. Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话. 序言 对于所谓的认证说到底 ...

  4. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再废叙述废话. 序言 对于所谓的认证说到 ...

  5. OAuth2 RFC 6749 规范提供的四种基本认证方案

    OAuth2 RFC 6749 规范提供了四种基本认证方案,以下针对这四种认证方案以及它们在本实现中的使用方式进行分别说面. 第一种认证方式: Authorization Code Grant (授权 ...

  6. 分布式部署下的报表调用 API调用 权限问题以及性能方案

     背景描述: 客户的实际情况是需要在具体系统构架前,通过与厂商讨论确定最终的系统架构方案. 需求是客户自己有管理系统,希望建立一个独立的报表服务器,该报表服务器可以对多个管理系统提供报表服务,不知 ...

  7. ASP.NET Web API 2系列(四):基于JWT的token身份认证方案

    1.引言 通过前边的系列教程,我们可以掌握WebAPI的初步运用,但是此时的API接口任何人都可以访问,这显然不是我们想要的,这时就需要控制对它的访问,也就是WebAPI的权限验证.验证方式非常多,本 ...

  8. API网关设计(一)之Token多平台身份认证方案(转载)

    原文:https://segmentfault.com/a/1190000018535570?utm_source=tag-newest 概述 今天咱们面对移动互联网的发展,系统一般是多个客户端对应一 ...

  9. 关于RESTFUL API 安全认证方式的一些总结

    常用认证方式 在之前的文章REST API 安全设计指南与使用 AngularJS & NodeJS 实现基于 token 的认证应用两篇文章中,[译]web权限验证方法说明中也详细介绍,一般 ...

随机推荐

  1. Intellij idea史上最简单的教程之Linux下安装与破解Intellij idea2017

    一.前言 这一节我们介绍在Linux下如何安装与破解Intellij idea2017.现在有很多公司开发环境都是Linux,所以掌握在Linux环境下使用Idea办公也是咱们必须得掌握的技能. 记住 ...

  2. Nginx平滑升级源码分析

    一.平滑升级步骤 1.重命名之前的sbin/nginx文件,将新的nginx文件放到sbin/目录下 #mv ./sbin/nginx ./sbin/nginx.old #cp ~/nginx ./s ...

  3. zookeeper curator选主(Leader)

    在分布式系统设计中,选主是一个常见的场景.选主是一个这样的过程,通过选主,主节点被选择出来控制其他节点或者是分配任务. 选主算法要满足的几个特征: 1)各个节点均衡的获得成为主节点的权利,一旦主节点被 ...

  4. 使用Olami SDK 语音控制一个支持HomeKit的智能家居的iOS程序

    前言 HomeKit是苹果发布的智能家居平台.通过HomeKit组件,用户可以通过iphone.iPad和ipod Touch来控制智能灯泡,风扇.空调等支持HomeKit的智能家居,尤其是可以通过S ...

  5. spring mvc 多线程并发

    ThreadLocal为解决多线程程序的并发问题提供了一种新的思路.使用这个工具类可以很简洁地编写出优美的多线程程序. http://www.xuebuyuan.com/1628190.html 我们 ...

  6. C# 通配符转正则

    可以使用下面代码把通配符转正则字符串 public static class WildcardRegexString { /// <summary> /// 通配符转正则 /// < ...

  7. python 基础大纲

    机器语言: 特点:计算机能够看懂的0和1去写程序 优点:程序运行速度快 缺点:开发效率低 汇编语言: 特点:用一些英文标签代替一串而精致数字去写程序 优点:比机器语言好一点,操作系统内大量使用汇编语言 ...

  8. Lustre文件系统测试——obdfilter-survey测试

    Lustre文件系统测试--obdfilter-survey测试 介绍 该测试主要是在lustre文件系统工作环境下进行,将直接在ost上生成工作负载模拟并行文件访问,可准确检测盘阵在lustre文件 ...

  9. 成为一名Java高级工程师你需要学什么

    宏观上: 1.技术广度方面至少要精通多门开源技术吧,研究过struts\spring等的源码.2.项目经验方面从头到尾跟过几个大项目,头是指需求阶段,包括需求调研.尾是指上线交付之后,包括维护阶段.3 ...

  10. JavaBean编辑器的简单介绍

    引言 Sun所指定的JavaBean规范很大程度上是为IDE准备的--它让IDE能够以可视化的方式设置JavaBean的属性.如果在IDE中开发一个可视化的应用程序,则需要通过属性设置的方式对组成应用 ...