专注WEB开发 分享经验,沉淀知识

api接口常见的安全问题和解决方案

 作者:chenxing  时间:2018-05-03 23:20  阅读:784  评论:

上述的安全策略也不是100%安全的,也不可能100%安全,道高一尺魔高一丈,任何的安全策略都是为了增加攻击者的成本,这好像是一个很哲学的问题。

对于web开发的api接口常见有以下三大问题:

1.接口被恶意调用(类似ddos攻击);

2.接口数据被篡改;

3.接口敏感数据被窃取。

以上三个问题是我们设计接口的是时候必须考虑到的安全问题。那么针对上述的问题我们有哪些解决方案呢?

针对第一个问题:

1)我们可以使用timestamp,传递时间戳的方法来解决。在服务层对接口传递过来的时间戳和当前时间作比较,比如设定这条请求有效期为60s。

2) 对timestamp进行必要的加密处理,防止攻击者对timestamp进行模拟攻击。

针对第二问题:

1)使用sign签名机制,把上传的接口参数的数据进行加密,生成一个sign签名。服务器端用相同的算法对签名进行验证,保证数据一致性。

2)加密算法比如:sign = md5(md5(a=1120)+md5(b=1144)),a,b为具体上传的出数据。

针对第三个问题:

这个当然要对上传这些敏感数据进行加密处理,比如密码等数据。

加密算法尽量复杂点,后端处理可以加盐处理(salt),来进一步提高加密的级别。

最后我们还可以直接使用https协议,来增强api的安全性。

写api我们必须要采取一些安全策略,而不是直接让数据裸奔。

上述的安全策略也不是100%安全的,也不可能100%安全,道高一尺魔高一丈,任何的安全策略都是为了增加攻击者的成本,这好像是一个很哲学的问题。

除特别注明外,本网站所有文章均为作者原创。 或分享自己的编程经验,或探讨工作中的问题,或聊以人生趣事。 转载请注明出处来自 https://www.qiusuoweb.com/130.html

发布评论

 提交评论
有人回复时邮件通知我

 评论(0)

站长头像
chenxing(PHP攻城狮)

运营天数

总访问量

文章数量

-

-

-

交流群:157451741

新浪微博:草莽兴

 近期文章

一年时间又回到这里

 2019-07-27 16:54  75

PHP字符串转数组的三种场景

 2018-05-05 01:32  176

PHP如何遍历字符串?

 2018-05-04 00:56  877

api接口常见的安全问题和解决方案

 2018-05-03 23:20  784

 最新评论

 666666: 11月08日 13:49
66666
来源: 一年时间又回到这里
 花花草草: 10月14日 14:58
tp5不是已经提前开了吗
来源: _SESSION变量未定义?
 疯了: 10月10日 13:40
你好呀,我使用docker构建的 把整个项目给了777 并把runtime的所有者给了nginx php的运行者还是报错
来源: thinkphp5的mkdir() Permission denied问题探讨
 mesecretme: 09月30日 15:30
有个问题,有没有发现用redis保存session的话,session清空redis的key还没过期,会依然保留的,这是值变成空了
来源: php项目redis实现session共享案例
 旧久: 09月20日 07:24
感谢!
来源: 没备案域名如何在阿里云服务器上使用?
 pagenoname: 08月24日 18:51
兴哥牛B加油哈兴哥成功的道路上你又进了一步 哈哈
来源: 一年时间又回到这里