api接口常见的安全问题和解决方案

对于web开发的api接口常见有以下三大问题：

1.接口被恶意调用（类似ddos攻击）；

2.接口数据被篡改；

3.接口敏感数据被窃取。

以上三个问题是我们设计接口的是时候必须考虑到的安全问题。那么针对上述的问题我们有哪些解决方案呢？

针对第一个问题：

1）我们可以使用timestamp，传递时间戳的方法来解决。在服务层对接口传递过来的时间戳和当前时间作比较，比如设定这条请求有效期为60s。

2) 对timestamp进行必要的加密处理，防止攻击者对timestamp进行模拟攻击。

针对第二问题：

1）使用sign签名机制，把上传的接口参数的数据进行加密，生成一个sign签名。服务器端用相同的算法对签名进行验证，保证数据一致性。

2）加密算法比如：sign = md5（md5（a=1120）+md5（b=1144）），a，b为具体上传的出数据。

针对第三个问题：

这个当然要对上传这些敏感数据进行加密处理，比如密码等数据。

加密算法尽量复杂点，后端处理可以加盐处理（salt），来进一步提高加密的级别。

最后我们还可以直接使用https协议，来增强api的安全性。

写api我们必须要采取一些安全策略，而不是直接让数据裸奔。

上述的安全策略也不是100%安全的，也不可能100%安全，道高一尺魔高一丈，任何的安全策略都是为了增加攻击者的成本，这好像是一个很哲学的问题。