防盗链技术 CSRF(模拟请求) 分析防止伪造Token请求攻击 互联网API接口幂等性设计 忘记密码漏洞分析 1.Http请求防盗链 什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示. 如果别人的项目频繁引用我的图片的话 别人请求放访问的是我的 服务器  也会浪费我的宽带 如何实现防盗链 判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用. Referer字段中记录了访问的来源(浏…

目录 幂等性场景 解决方案 幂等性场景 网络延迟导致多次重复提交. 表单重复提交. 解决方案 每次提交都使用一个Token,Token保证临时且唯一即可 token生成规则(单机应用):token+UUID 每次调用接口前生成一个token存放到Redis中. 调用接口时,将生成的token放入请求头中. 接口获取请求头中的token,去redis中查询token是否存在,存在则删除该token并执行业务逻辑. 如果redis中查询不到该token则提示不可重复提交. token生成规则(分布式…

基于Redis&MySQL接口幂等性设计 欲把相思说似谁,浅情人不知. 1.幂等 幂等性即多次调用接口或方法不会改变业务状态,可以保证重复调用的结果和单次调用的结果一致. 2.幂等使用场景 前端重复提交 用户注册.创建商品.提交订单.转账.支付等操作,前端都会提交一些数据给后台服务,后台需要根据用户提交的数据在数据库中创建记录.如果用户不小心多点了几次,后端收到了好几次提交,这时就会在数据库中重复创建了多条记录.这就是接口没有幂等性带来的bug. 接口超时重试 对于给第三方调用的接口,有可能会因…

表单重复提价问题 rpc远程调用时候 发生网络延迟  可能有重试机制 MQ消费者幂等(保证唯一)一样 解决方案: token 令牌 保证唯一的并且是临时的  过一段时间失效 分布式: redis+token 注意在getToken() 这种方法代码一定要上锁  保证只有一个线程执行  否则会造成token不唯一 步骤 调用接口之前生成对应的 token,存放在redis中 调用接口的时候,将该令牌放到请求头中 (获取请求头中的令牌) 接口获取对应的令牌,如果能够获取该令牌 (将当前令牌删除掉),…

首先需要知道API是什么?   API(Application Programming Interface)即应用程序接口.你可以认为 API 是一个软件组件或是一个 Web 服务与外界进行的交互的接口.而我们在这里要谈论的,是作为一家公司如何跟外界进行交互.从另一个角度来说,API 是一套协议,规定了我们与外界的沟通方式:如何发送请求和接收响应.   API的特点:   1.因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效:   2.因为是非开放性的,所以OAuth那套协议是…

接口的安全性主要围绕 token.timestamp 和 sign 三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中. 服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效.Token是客户端访问服务端的凭证. 时间戳超时机制: 用户每次请求都带上当前时间的时间戳 timestamp,服务端接收到t…

http://www.jianshu.com/p/c6518a8f4040 接口的安全性主要围绕Token.Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中.服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效.Token是客户端访问服务端的凭证. 时间戳超时机制:用户每次…

2016年12月29日13:45:27    关于接口设计要说的东西很多,可能写一个系列都可以,vsd图都得画很多张,但是由于个人时间和精力有限,所有有些东西后面再补充   说道接口设计第一反应就是restful api 请理解一点,这个只是设计指导思想,也就是设计风格 ,比如你需要遵循这些原则 原则条件REST 指的是一组架构约束条件和原则.满足这些约束条件和原则的应用程序或设计就是 RESTful.Web 应用程序最重要的 REST 原则是,客户端和服务器之间的交互在请求之间是无状态的.从客…

抓包能力有限,分析了一下网易云音乐的一些api接口,但是关于它很多post请求都是加了密,没有弄太明白.之前在知乎看到过一个豆瓣工程师写的教程,但是被投诉删掉了,请问有网友fork了的吗?因为我觉得他写的代码都比较pythonic,符合pep8规范.知乎另外几名大V比如@路人甲虽然经常分享数据,但是很少分享源代码,github也没有公布,公开过的代码我觉得他很多基础的pep8细节都忽略了,而且他的爬虫的效率非常低,比如爬网易10k+评论,在专栏说爬了6个小时之类的很辛苦之类的话,但是看他的代码别…

说实话,我非常希望两年前刚准备找实习的自己能看到本篇文章,那个时候懵懵懂懂,跟着网上的免费教程做了一个购物商城就屁颠屁颠往简历上写. 至今我仍清晰地记得,那个电商教程是怎么定义接口的: 管它是增加.修改.删除.带参查询,全是 POST 请求一把梭,比如下面这样: 修改用户的收货地址 POST /xxx-mall/cart/update_address 现在看来,全部用 POST 请求估计是为了传参方便吧. 那个时候自己也没有一个 API 接口需要设计 的意识,跟学过类似教程的朋友应该懂的,老师敲…