在给第三方系统提供api时,我们需要注意下安全问题。

比较常见的接口有http接口。以http接口为例。我们需要注意的几点:

1.只有被允许的系统才可以调用api

2.如果http请求被截获。也不能随便修改接口中的参数。

 

在运维方面,可以添加访问白名单。白名单中有一系列的ip地址。只有白名单中的ip才可以访问api。但是这样会给运维造成麻烦。比如应用的ip可能会变化。

下面说下一种比较容易实现的api安全方案吧。

比如要让a系统访问我们的api接口。可以给a系统分配一个appName和一个appKey。

如:appName=app1.appKey是一个guid。

应用a调用我们的接口时,在参数中,除了接口必须的业务上的参数外,还需要提供一个appName参数,一个secretKey参数。appName就是分配的app1.secretKey是一种根据业务参数,appKey,由某种算法得出的值。

 

比如:得到appSecret的算法可以是:

业务参数+appName+appKey,再进行md5加密等。

http://localhost:8080/api/addUser?id=123&name=leo&password=hello1234&usertype=2

业务参数就是“id=123&name=leo&password=hello1234&usertype=2”

+appName=“id=123&name=leo&password=hello1234&usertype=2&appName=app1”

将上面的值+appKey,再进行md5加密等。

最终的url请求大致如下:

http://localhost:8080/api/addUser?id=123&name=leo&password=hello1234&usertype=2&appname=app1&appsecret=546rtf564thft456fth56jh54tfg5454gfhgf

服务端收到请求后,

根据appname,找到对应的appKey。

再根据算法,“addUser?id=123&name=leo&password=hello1234&usertype=2&appname=app1”+appKey,再进行md5加密,如果得到的=appsecret=546rtf564thft456fth56jh54tfg5454gfhgf

表明,该请求时被授权的。

只要a系统不将appName和appKey全部泄漏,别的系统就不能调用我们的api。

如果上面的url被截获了。那么第三方系统就可以发出这个请求了。因为他已经知道了url了,虽然他不知道我们的appkey。但是如果他想修改接口中的参数是不可以的。一旦,他修改了参数,appsecret就不对了,因为不知道appkey,在修改了参数后,也不知道对应的appsecret。

那,如果攻击者一直调用上面被截获的接口怎么办呢?很简单,在url中再添加一个当前时间戳。

即:appsecret变成:业务参数+appname+当前时间戳,在md5加密。

服务端接受到请求后,获得时间戳。如果时间戳和当前时间相隔很小,该请求时有效的。不然是无效的。

如果攻击者修改时间戳怎么办?如果修改了时间戳,appsecret就不对了。

所以,该方案的前提是应用的appName和appsecret不能全部泄漏。appname可能会泄漏。但是appkey决不能泄漏。

api的安全问题的更多相关文章

  1. duilib学习 --- 360demo 学习

    我想通过360demo的学习,大概就能把握duilib的一般用法,同时引申出一些普遍问题,和普遍解决方法.并在此分享一些链接和更多内容的深入学习..... 原谅我是一个菜鸟,什么都想知道得清清楚楚.. ...

  2. App架构经验总结(转)

    原文链接: http://keeganlee.me/post/architecture/20160303 架构因人而异,不同的架构师大多会有不同的看法:架构也因项目而异,不同的项目需求不同,相应的架构 ...

  3. App架构经验总结(转载)

    原文地址:http://www.iteye.com/news/31472 架构因人而异,不同的架构师大多会有不同的看法:架构也因项目而异,不同的项目需求不同,相应的架构也会不同.然而,有些东西还是通用 ...

  4. App架构经验总结

    作者:李纪钢,网名 Keegan小钢,博客地址:http://keeganlee.me.目前在广州日报新媒体有限公司,负责移动产品的研发工作. 关于:本文整理自CSDN架构主题月子活动金牌架构师微课堂 ...

  5. APP和服务端-架构设计(一)

    架构因人而异,不同的架构师大多会有不同的看法:架构也因项目而异,不同的项目需求不同,相应的架构也会不同.然而,有些东西还是通用的,是所有架构师都需要考虑的,也是所有项目都会有的需求,比如API如何设计 ...

  6. Service_Worker XSS

    0x00 简介 Service Worker 是 Chrome 团队提出和力推的一个 WEB API,用于给 web 应用提供高级的可持续的后台处理能力.该 WEB API 标准起草于 2013 年, ...

  7. node十年心酸史,带你了解大前端的由来!

    前言 近年来,随着前端的丰富,前后端分离是趋势.各种东西如雨后春笋一般,层出不穷.node.js的出现,使前端真正意义上变成了大前端. 前端由来之HTML发展史 1990 年,Tim Berners- ...

  8. Web API 安全问题

    目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication and Session Manageme ...

  9. 【JAVA8新的时间与日期 API】- 传统时间格式化的线程安全问题

    Java8之前的日期和时间API,存在一些问题,最重要的就是线程安全的问题.这些问题都在Java8中的日期和时间API中得到了解决,而且Java8中的日期和时间API更加强大. 传统时间格式化的线程安 ...

随机推荐

  1. android download学习记录

    东西拼凑,最终弄出来能够用的代码 [1].[代码] [Java]代码 跳至 [1] ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ...

  2. Jquery学习(三)选择

    1.Jquery最重要的是选择. 学习要点:        1.简单选择器        2.进阶选择器        3.高级选择器 ①简单选择器. 最简单的也就是最经常使用的,最经常使用的一般也是 ...

  3. C# 一个WCF简单实例

    以订票为例简单应用wcf 新建一个wcf服务应用程序 在IService1.cs定义服务契约 复制代码 代码如下: namespace WcfDemo { // 注意: 如果更改此处的接口名称 &qu ...

  4. 【从翻译mos文章】oracle linux 和外部存储系统 关系

    oracle  linux 和外部存储系统 关系 参考原始: Oracle Linux and External Storage Systems (Doc ID 753050.1) 范围: Linux ...

  5. Python判断内网IP

    def ip_into_int(ip): # 先把 192.168.1.13 变成16进制的 c0.a8.01.0d ,再去了"."后转成10进制的 3232235789 即可. ...

  6. mac_Mac item2常用快捷键

    整理使用 iTerm 2 过程中得常用快捷键,Mac 原来自带的终端工具 Terminal 不好用是出了名的,虽然最近几个版本苹果稍微做了些优化,功能上,可用性方面增强不少,无奈有个更好用的 Iter ...

  7. 从头开始学JavaScript (八)——变量

    原文:从头开始学JavaScript (八)--变量 一.变量分类: 基本类型值:null.undefined.number.string.Boolean: 引用类型值:保存在内存中的对象,如:Obj ...

  8. ReactJS.NET

    初探ReactJS.NET 开发 ReactJS通常也被称为"React",是一个刚刚在这场游戏中登场的新手.它由Facebook创建,并在2013年首次发布.Facebook认为 ...

  9. HDU 1080 Human Gene Functions--DP--(变形最长公共子)

    意甲冠军:该基因序列的两端相匹配,四种不同的核苷酸TCGA有不同的分值匹配.例如T-G比分是-2,它也可以被加入到空格,空洞格并且还具有一个相应的核苷酸匹配分值,求最大比分 分析: 在空气中的困难格的 ...

  10. ArcEngine下纵断面图的绘制

    我是採用Dev控件中的画图控件来绘制的纵断面图,以下主要来介绍下输电线路选址以及纵断面图的实时绘制的实现流程. 一.关于输电线路的选址,首先要准备好基础地理数据,包含选线区的DOM,DEM,DLG以及 ...