目前的情况下api被很多地方应用,随之而来的是api的安全性问题。

  我所认识到的安全性问题有以下几个方面:
  1、DDoS(拒绝服务攻击),接口被恶意调用,使真实的用户无法享受到正常畅通的服务。
      这个比较单纯,也比较容易处理,通过IP限制来做,并且辅以一些硬件设备应该就没问题了,同时服务器供应商也可以提供相应的服务。

  2、传输过程中数据被截获,http数据包是可以被截获到的,这一点我们无法防止,能做的只有使被截获到的数据对截获者来说无意义。
      这个问题要分成两种情况来说明,第一种情况,api站点采用了https,那么在网络中传输的数据就是被加密过的数据,这种数据截获者很难把他解密出来,所以可以保证数据的安全性。第二情况,api站点没有采用https,而是使用的普通的http,如果不加任何处理其实传输的数据是在裸奔,当然有些数据就是给截获者截获到也没有什么影响,但对于敏感的信息我们还是要想办法来处理下的,要么协商一种相同的加密方法,这样起到加密作用。另外请求时使用token不直接传以明文密码暴露的机会,同时最好是在传输前就把信息MD5一下,这样对用户的在网站上的安全性是有好处的。总的来说不使用https的传输是不安全的,有意义的敏感信息有可能会被截获到,建议在登录相关的接口有条件时一定使用https,如果使用http登录也一定要处理一下敏感信息,比如这样MD5(变形(MD5(原文))),这样即使被截获也可以保证截获人不能得到原文,也就保证了用户在其他网站上帐号的安全。

  3、伪造请求,在上一种情况的基础上,截获者可以利用截获到的数据发起伪造的请求,当然https不会有这个问题。
      解决这个问题的一个方法是,让请求成为一次性的或者说只能在短时间内有效,可以在参数中再加入一个签名(sign),签名是由时间戳加参数MD5构成的,这样可以在服务端验证其有效性与时效性,这个方法在他人不知道签名生成规则时是有效的。但是如果程序被反编译就可以比较容易的知道生成规则。更靠谱一点的话就在生成sign时增加key值(不过这对app并不是太适用,因为如果key改变就要更新app),不过这样还是躲不过反编译,于是防止反编译也是重要的一环了。另外的一个途径是保证数据确实是从真实的客户端发出来的,这个就要从token上想办法了,例如对比IP,但这种途径显得比较苍白无力同时有局限性(如第一次登录,同时IP在实际情况下发生变化也不应该被认为不合法)。还有可以在重要的操作时应用二次授权,这样可以降低风险。

附:

1、 传输中加上签名sign不是为了防止被截获,而是为了防止被篡改或发出伪造请求。

2、 数字签名是对所传输数据的散列后的摘要使用私钥加密得到的结果,
  数字签名使得接收方可以确认信息是可靠的,因为只有指定私钥加密的内容接收方才可以解密出来。
  对于指定的MD5结果,可以有方法找到多个文本与之对应。即单次单纯的MD5是不够安全的,可以通过MD5(变形(MD5(原文)))来解决这个问题。
3、 数字证书是由权威机构用自己的私钥加密服用提供方的公钥并搭载其他相关信息组成的。

4、 使用token是为了唯一标识用户,应该在数据库中维护这些数据,它应有的关联属性(用户ID、IP、到期时间、是否有效)

对于api安全性的思考的更多相关文章

  1. Web API核查表:设计、测试、发布API时需思考的43件事[转]

    Web API核查表:设计.测试.发布API时需思考的43件事   当设计.测试或发布一个新的Web API时,你是在一个原有的复杂系统上构建新的系统.那么至少,你也要建立在HTTP上,而HTTP则是 ...

  2. 分析RESTful API安全性及如何采取保护措施

    本文中讨论了API安全性和采用安全措施的重要性,如身份验证,API密钥,访问控制和输入验证. API设计的第一步是撰写接口文档 根据TechTarget(海外IT专业媒体)的定义,RESTful AP ...

  3. API网关在API安全性中的作用

    从单一应用程序切换到微服务时,客户端的行为不能与客户端具有该应用程序的一个入口点的行为相同.简单来说就是微服务上的某一部分功能与单独实现该应用程序时存在不同. 目前在使用微服务时,客户端必须处理微服务 ...

  4. 【转】App开放接口api安全性—Token签名sign的设计与实现

    前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...

  5. App开放接口api安全性的设计与实现

    前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证, 那么这就需要用户提供一些信息,比如用户名密码等 ...

  6. ASP.NET Web Api 安全性(转载)

    转载地址:http://www.cnblogs.com/fzrain/p/3552423.html 在Web Api中强制使用Https 我们可以在IIS级别配置整个Web Api来强制使用Https ...

  7. App开放接口api安全性—Token签名sign的设计与实现

    前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...

  8. 基于api安全性的解决处理方案

    api解决用户安全主要采用两种方案: 一.使用token识别用户信息,作为识别用户的凭证 1.为什么使用token? 常规性的pc站点,使用session存储用户登录状态. 即用户登录之后,服务端会生 ...

  9. App开放接口API安全性 — Token签名sign的设计与实现

    在app开放接口API的设计中,避免不了的就是安全性问题. 一.https协议 对于一些敏感的API接口,需要使用https协议. https是在http超文本传输协议加入SSL层,它在网络间通信是加 ...

随机推荐

  1. Oracle数据库日常SQL的使用

    DDL 语句(数据定义语言Create.Alter. Drop.Truncate) 1.建表:create table 表名(): 2.复制表结构及其数据:create table 新表名 as se ...

  2. Python3使用PyMySQL操作数据库

    1. 安装PyMySQL pip install PyMySQL 关于PyMySQL的详细内容可以查看官方文档  Github 2. 创建表 在某个数据库内,使用以下指令建表 CREATE TABLE ...

  3. Linux的硬件时间、校正Linux系统时间及系统时间调用流程

    第一部分: 一)概述: 事实上在Linux中有两个时钟系统,分别是系统时间和硬件时间 UTC是协调世界时(Universal Time Coordinated)英文缩写,它比北京时间早8个小时.   ...

  4. 如何用纯 CSS 创作文本滑动特效的 UI 界面

    效果预览 在线演示 按下右侧的"点击预览"按钮可以在当前页面预览,点击链接可以全屏预览. https://codepen.io/comehope/pen/QrxxaW 可交互视频教 ...

  5. LeetCode(22)Generate Parentheses

    题目 Given n pairs of parentheses, write a function to generate all combinations of well-formed parent ...

  6. POJ 1287 Networking (最小生成树模板题)

    Description You are assigned to design network connections between certain points in a wide area. Yo ...

  7. POJ-3468A Simple Problem with Integers,线段数区间更新查询,代码打了无数次还是会出错~~

    A Simple Problem with Integers Time Limit: 5000MS   Memory Limit: 131072K                Case Time L ...

  8. Flask处理前端POST过来的JSON数据

    POST JSON数据的JS代码: $.ajax({ url:'http://127.0.0.1:5000/calc', type : 'post', dataType:'json', headers ...

  9. 【ZJOI2017 Round1练习】D2T1 river(二分图)

    题意: 思路:这道题并没有官方题解 没有羊驼在所有三元组中出现就是NO 现在考虑不少于1只的情况 删去其中一只,我们得到了两组点和一些边 我们只要判断这是否为一张二分图,使用暴力染色的方法就有60分了 ...

  10. SSM!这就是你要的条条框框!

    第一次写博 1.导jar包 2,.表和实体类 实体类:com.bao.entity[Student] private int stuNo; private String stuName; privat ...