WEB API的安全问题
2019独角兽企业重金招聘Python工程师标准>>>
web server里的的application提供给APP,浏览器,第三方调用等客户端的的接口大多采用http协议,如何做到保证接口的数据安全,接口权限验证有如下一些方案:
一。请求被恶意频繁执行
为了防止接口被其他未知客户请求, 可以采用签名的方式对接口进行保护。
原理:
接口 www.a.com/b/c?d=e&f=g
该接口很容易被客户模拟请求的方式频繁请求。
改为 www.a.com/b/c?d=e&f=g&sign=1213xxx×tamp=12332132key="321dss"
sign是该请求的签名,服务器端验证签名,如果签名正确 则对请求进行处理。
也可以把所有参数按规则排序后进行MD5加密后做签名,可以防止请求数据被篡改。
首页为客户端分配一个私钥。
sign算法:sign = MD5( 时间戳+私钥)。
服务器端限制改签名的有效时间为时间戳+10分钟,就可以保证该签名只在10分钟内有效。
为了区别不同客户端的私钥,通常还会为用户分配一个key。
问题:1.客户端时间不准确,导致在服务器端校验时 时间戳不在有效范围内。
2.市区不同 时间戳不同。
一些短信平台,地图,云存储平台对客户的接口访问采用该方式对接口进行
通常会为用户分配一个key对用户进行识别,在请求的时候携带此key作为用户识别。
二。数据被抓包窃取。
1. HTTPS 保证数据在传输中不被中间人获取。
2. 密码等数据在客户端进行对称加密后进行传输
3. 对于一些安全要求高,但并发不高的请求,可以对所有请求参数进行对称加密。
三。API 的授权问题
参考OAUTH2 模型。
结合微信的网页授权模式。
角色: 授权服务器,资源服务器,用户,请求客户端
四。恶意攻击
1.ngnix拦截
2.
转载于:https://my.oschina.net/zhaolin/blog/1810506
WEB API的安全问题相关推荐
- Web API 安全问题
目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication and Session Manageme ...
- web API简介(二):客户端储存之document.cookie API
概述 前篇:web API简介(一):API,Ajax和Fetch 客户端储存从某一方面来说和动态网站差不多.动态网站是用服务端来储存数据,而客户端储存是用客户端来储存数据.document.cook ...
- Web APi之认证(Authentication)两种实现方式【二】(十三)
前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话. 序言 对于所谓的认证说到底 ...
- WCF和ASP.NET Web API在应用上的选择
在最近发布的Visual Studio 2012及.NET 4.5中, 微软正式推出新的网络服务框架ASP.NET Web API.作为ASP.NET MVC 4的一部分,ASP.NET Web AP ...
- twitter api 无法连接_光大银行牟健君:金融API的安全问题和应对技术
点击蓝字 关注我们 11月3日,由北京金融科技产业联盟.移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开.光大银行安全管理处处长牟健君以<构建API安全体系护航银行数字生态> ...
- 【转】WCF与Web API 区别(应用场景)
Web api 主要功能: 支持基于Http verb (GET, POST, PUT, DELETE)的CRUD (create, retrieve, update, delete)操作 请求的回 ...
- 使用ASP.NET Web Api构建基于REST风格的服务实战系列教程
最近发现web api很火,园内也有各种大神已经在研究,本人在asp.net官网上看到一个系列教程,原文地址:http://bitoftech.net/2013/11/25/detailed-tuto ...
- 《Web API 的设计与开发》读书笔记
设计优美的Web API: 易于使用.便于更改.健壮性好.不怕公开 REST的两层含义: 指符合Fielding的REST架构风格的Web服务系统 指使用符合RPC风格的XML或JSON + HTTP ...
- 【计算机网络】Web应用的安全问题——概述
Web应用的安全问题概述 文章目录 Web应用的安全问题概述 一.Web应用的概念 二.什么环节中可能会出现安全问题? 三.有哪些安全问题? 1.WASC组织定义的6大类安全问题 2.OWASP组织发 ...
最新文章
- ios Develop mark
- Redis概述与Redis集群(一)
- CSS实现鼠标移入图片边框有小三角
- 首次使用Cesium加载3D数据成功
- 远程桌面mstsc /console(/admin) 的运用
- jquery.cookies使用
- ubunttu: 使用DiskGenius克隆系统和分区
- Javascript对象及数组用法笔记
- 【转】Azure应用部署方式对比
- 如何在Linux中找到您的IP地址
- 【华为云技术分享】物体检测yolo3算法 学习笔记(1)
- NSNotificationCenter消息通信机制介绍(KVO)
- 通信原理实验(〇):音频信号的播放蒙特卡洛模拟
- 对称矩阵(MIT课程)
- nx531j android版本,努比亚Z11(NX531J)官方固件rom全量系统升级更新包:V2.92
- 嵌入式开发笔记-STM32CudeIDE平台入门
- Java课程设计-基于Java Swing的学生信息管理系统-版本二
- hbase热点问题解决(预分区)
- qq密码终结者_密码或隐私的终结? 是你的电话
- java oracle dbhelper,Java实现Oracle连接的DbHelper及相关异常