API安全機(jī)制

　　為什么要保證API安全

　　接口的安全性主要圍繞Token、Timestamp和Sign三個機(jī)制展開設(shè)計，保證接口的數(shù)據(jù)不會被篡改和重復(fù)調(diào)用，下面具體來看：

　　Token授權(quán)機(jī)制：用戶使用用戶名密碼登錄后服務(wù)器給客戶端返回一個Token（通常是UUID），并將Token-UserId以鍵值對的形式存放在緩存服務(wù)器中。服務(wù)端接收到請求后進(jìn)行Token驗(yàn)證，如果Token不存在，說明請求無效。

　　時間戳超時機(jī)制：用戶每次請求都帶上當(dāng)前時間的時間戳timestamp，服務(wù)端接收到timestamp后跟當(dāng)前時間進(jìn)行比對，如果時間差大于一定時間（比如5分鐘），則認(rèn)為該請求失效，這個時間要保證足夠完成本次請求的同時盡量短，可以減少緩存服務(wù)器的壓力（見簽名機(jī)制）。

　　簽名機(jī)制：將Token和時間戳加上其他請求參數(shù)就行MD5或SHA-1算法（可根據(jù)情況加點(diǎn)鹽）加密，加密后的數(shù)據(jù)為本次請求的簽名sign，并將該簽名存放到緩存服務(wù)器中，超時時間設(shè)定為跟時間戳的超時時間一致（這就是為什么要盡量短，二者時間一致可以保證無論在timestamp規(guī)定時間內(nèi)還是外本URL都只能訪問一次）。服務(wù)端接收到請求后以同樣的算法得到簽名，并跟當(dāng)前的簽名進(jìn)行比對，如果不一樣，說明參數(shù)被更改過，直接返回錯誤標(biāo)識。同一個簽名只能使用一次，如果發(fā)現(xiàn)緩存服務(wù)器中已經(jīng)存在了本次簽名，則拒絕服務(wù)。

　　防止別人隨便調(diào)用你的api

　　保證傳輸數(shù)據(jù)的安全

　　前后端分離mvvm模式的N宗罪；

　　5分鐘搞定密碼學(xué)的對稱/非對稱加密；

　　接口簽名，防止數(shù)據(jù)篡改之泰斗;

　　用代碼告訴你，令牌實(shí)現(xiàn)身份認(rèn)證；

　　優(yōu)雅處理身份認(rèn)證，讓業(yè)務(wù)代碼更6；

　　數(shù)據(jù)加密

　　加密方法

　　1，對稱加密

　　AES,3DES,DES等，適合做大量數(shù)據(jù)或數(shù)據(jù)文件的加解密。

　　2，非對稱加密

　　如RSA,Rabin。公鑰加密，私鑰解密。對大數(shù)據(jù)量進(jìn)行加解密時性能較低。

　　Api有哪些安全問題？http接口—前后端分離mvvm

　　安全夠了嗎，還有哪些要做？

　　身份認(rèn)證—token令牌

　　身份認(rèn)證的封裝—cookie隱式攜帶token

　　傳輸安全

　　互聯(lián)網(wǎng)發(fā)展到今天，大家越來越重視自己的隱私，各大公司也越來越重視數(shù)據(jù)的安全。傳輸過程中的數(shù)據(jù)安全解決方案主要是“HPPTS”，能夠有效防止中間人攻擊等。但是API中重要的參數(shù)還是要進(jìn)行加密，常用DES或者AES進(jìn)行加密。有見過API中密碼直接MD5后就行傳輸，但是MD5在2009年謝濤和馮登國僅用了220.96的碰撞算法復(fù)雜度，破解了MD5的碰撞抵抗，該攻擊在普通計算機(jī)上運(yùn)行只需要數(shù)秒鐘，引自[維基百科]。

　　總結(jié)

　　安全是一個永恒的話題，隨著各大網(wǎng)站全站https的推進(jìn)，安全也越來越被重視。簽名設(shè)計大家必須有，HTTPS希望大家有。

　　以上就是動力節(jié)點(diǎn)java培訓(xùn)機(jī)構(gòu)小編分享的“動力節(jié)點(diǎn)IT培訓(xùn)帶你詳解API接口安全”的內(nèi)容，希望對大家有幫助，更多java最新資訊請繼續(xù)關(guān)注動力節(jié)點(diǎn)java培訓(xùn)機(jī)構(gòu)官網(wǎng)，每天會有精彩內(nèi)容分與你。