对于api安全性的思考
目前的情况下api被很多地方应用,随之而来的是api的安全性问题。
我所认识到的安全性问题有以下几个方面:
1、DDoS(拒绝服务攻击),接口被恶意调用,使真实的用户无法享受到正常畅通的服务。
这个比较单纯,也比较容易处理,通过IP限制来做,并且辅以一些硬件设备应该就没问题了,同时服务器供应商也可以提供相应的服务。
2、传输过程中数据被截获,http数据包是可以被截获到的,这一点我们无法防止,能做的只有使被截获到的数据对截获者来说无意义。
这个问题要分成两种情况来说明,第一种情况,api站点采用了https,那么在网络中传输的数据就是被加密过的数据,这种数据截获者很难把他解密出来,所以可以保证数据的安全性。第二情况,api站点没有采用https,而是使用的普通的http,如果不加任何处理其实传输的数据是在裸奔,当然有些数据就是给截获者截获到也没有什么影响,但对于敏感的信息我们还是要想办法来处理下的,要么协商一种相同的加密方法,这样起到加密作用。另外请求时使用token不直接传以明文密码暴露的机会,同时最好是在传输前就把信息MD5一下,这样对用户的在网站上的安全性是有好处的。总的来说不使用https的传输是不安全的,有意义的敏感信息有可能会被截获到,建议在登录相关的接口有条件时一定使用https,如果使用http登录也一定要处理一下敏感信息,比如这样MD5(变形(MD5(原文))),这样即使被截获也可以保证截获人不能得到原文,也就保证了用户在其他网站上帐号的安全。
3、伪造请求,在上一种情况的基础上,截获者可以利用截获到的数据发起伪造的请求,当然https不会有这个问题。
解决这个问题的一个方法是,让请求成为一次性的或者说只能在短时间内有效,可以在参数中再加入一个签名(sign),签名是由时间戳加参数MD5构成的,这样可以在服务端验证其有效性与时效性,这个方法在他人不知道签名生成规则时是有效的。但是如果程序被反编译就可以比较容易的知道生成规则。更靠谱一点的话就在生成sign时增加key值(不过这对app并不是太适用,因为如果key改变就要更新app),不过这样还是躲不过反编译,于是防止反编译也是重要的一环了。另外的一个途径是保证数据确实是从真实的客户端发出来的,这个就要从token上想办法了,例如对比IP,但这种途径显得比较苍白无力同时有局限性(如第一次登录,同时IP在实际情况下发生变化也不应该被认为不合法)。还有可以在重要的操作时应用二次授权,这样可以降低风险。
附:
1、 传输中加上签名sign不是为了防止被截获,而是为了防止被篡改或发出伪造请求。
2、 数字签名是对所传输数据的散列后的摘要使用私钥加密得到的结果,
数字签名使得接收方可以确认信息是可靠的,因为只有指定私钥加密的内容接收方才可以解密出来。
对于指定的MD5结果,可以有方法找到多个文本与之对应。即单次单纯的MD5是不够安全的,可以通过MD5(变形(MD5(原文)))来解决这个问题。
3、 数字证书是由权威机构用自己的私钥加密服用提供方的公钥并搭载其他相关信息组成的。
4、 使用token是为了唯一标识用户,应该在数据库中维护这些数据,它应有的关联属性(用户ID、IP、到期时间、是否有效)
对于api安全性的思考的更多相关文章
- Web API核查表:设计、测试、发布API时需思考的43件事[转]
Web API核查表:设计.测试.发布API时需思考的43件事 当设计.测试或发布一个新的Web API时,你是在一个原有的复杂系统上构建新的系统.那么至少,你也要建立在HTTP上,而HTTP则是 ...
- 分析RESTful API安全性及如何采取保护措施
本文中讨论了API安全性和采用安全措施的重要性,如身份验证,API密钥,访问控制和输入验证. API设计的第一步是撰写接口文档 根据TechTarget(海外IT专业媒体)的定义,RESTful AP ...
- API网关在API安全性中的作用
从单一应用程序切换到微服务时,客户端的行为不能与客户端具有该应用程序的一个入口点的行为相同.简单来说就是微服务上的某一部分功能与单独实现该应用程序时存在不同. 目前在使用微服务时,客户端必须处理微服务 ...
- 【转】App开放接口api安全性—Token签名sign的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...
- App开放接口api安全性的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证, 那么这就需要用户提供一些信息,比如用户名密码等 ...
- ASP.NET Web Api 安全性(转载)
转载地址:http://www.cnblogs.com/fzrain/p/3552423.html 在Web Api中强制使用Https 我们可以在IIS级别配置整个Web Api来强制使用Https ...
- App开放接口api安全性—Token签名sign的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...
- 基于api安全性的解决处理方案
api解决用户安全主要采用两种方案: 一.使用token识别用户信息,作为识别用户的凭证 1.为什么使用token? 常规性的pc站点,使用session存储用户登录状态. 即用户登录之后,服务端会生 ...
- App开放接口API安全性 — Token签名sign的设计与实现
在app开放接口API的设计中,避免不了的就是安全性问题. 一.https协议 对于一些敏感的API接口,需要使用https协议. https是在http超文本传输协议加入SSL层,它在网络间通信是加 ...
随机推荐
- ZOJ - 1655 Transport Goods(单源最长路+迪杰斯特拉算法)
题目: 有N-1个城市给首都(第N个城市)支援物资,有M条路,走每条路要耗费一定百分比(相对于这条路的起点的物资)的物资.问给定N-1个城市将要提供的物资,和每条路的消耗百分比.求能送到首都的最多的物 ...
- 10. GLOBAL_STATUS 与 SESSION_STATUS
10. GLOBAL_STATUS 与 SESSION_STATUS 注意 从MySQL 5.7.6开始,show_compatibility_56系统变量的值会影响此处描述的表中的可用信息. 有关详 ...
- 上海苹果维修点分享苹果电脑MACBOOK故障维修常见案例
苹果的电子设备无论是外观和性能都是无与伦比的美丽,很多开发者都开始选用苹果电脑macbook.近年来苹果售后维修点来维修苹果电脑的用户也越来越多,我们上海苹果维修点就整理分享了一些苹果电脑MACBOO ...
- python_字符串类型
1.在python中用单引号' ',双引号'' '',三引号''' ''' 标注字符串类型. >>> name = "Alex Li" #双引号 >> ...
- Wall Treatment
* wall treatment You can combine the turbulent flow interfaces with different types of wall treatmen ...
- POJ 2728 Desert King(最优比率生成树, 01分数规划)
题意: 给定n个村子的坐标(x,y)和高度z, 求出修n-1条路连通所有村子, 并且让 修路花费/修路长度 最少的值 两个村子修一条路, 修路花费 = abs(高度差), 修路长度 = 欧氏距离 分析 ...
- 深刻理解下js的prototype
参考 http://aralejs.org/class/docs/competitors.html, http://www.iteye.com/topic/248933,http://www.cnbl ...
- wps左侧显示目录
单击视图----文档结构图,在下拉选项中选择靠左即可,如图所示
- Linux如何查看CPU负载
负载(load)是Linux机器的一个重要指标,直观了反应了机器当前的状态.如果机器负载过高,那么对机器的操作将难以进行. linux的负载高,主要是由于CPU使用.内存使用.IO消耗三部分构成.任意 ...
- Python的3种格式化字符串方法
Python中有3种format字符串的方式: 传统C语言式 命名参数 位置参数 1. 传统C语言式 和c语言里面的 sprintf 类似,参数格式也一样 title = "world&qu ...