如何设计提高服务API的安全性(一)基础介绍】的更多相关文章

如何设计提高服务API的安全性(一)基础介绍

场景 现今越来越多公司提供了Sass平台服务,大部分也直接提供API.如快递鸟.微信Api.云服务.如何保证这些服务的安全性是一门重要的课题.如快递跟踪.机票查询等很便捷地影响着我们d的生活,对这些技术开发人员有更高的技术要求.不仅体现在并发量这些基础性问题,更多的是安全性. 例如在云时代,我们需要使用云服务,会提供相应服务的密钥AccessKeyId与AccessKeySecret.再如如果你经常与微信公众号打交道的话,公众号也会提供对应Appid与AppSecret. 所以服务安全性越来越重…

如何设计提高服务API的安全性(二)API密钥方式详解

在上文已经讲述了基础介绍,这篇文章详细讲解API密钥方式. 利用何种加密方式呢? 经过上面加密算法的理解,单向加密不仅性能高,而且有压缩性,即长度一致,有效减少网络传输过程中的字节大小.适合我们这种调用服务API的方式.所以我们使用不可逆的加密算法,选择SHA. 因为服务API是供所有企业/个人使用,一个企业/个人可理解为一个租户.如果都使用SHA来加密日期+AccessKeyId的话,不安全.所以需要用密钥生成,就需要用到HMAC算法.HMAC即利用密钥来生成固定长度的hash加密值,提高安全…

如何构建和设计以确保 API 的安全性

如何构建和设计以确保 API 的安全性 面对常见的OWASP十大威胁.未经授权的访问.拒绝服务攻击.以及窃取机密数据等类型的攻击,企业需要使用通用的安全框架,来保护其REST API,并保证良好的用户使用体验.本文向您介绍四种类型的API安全保护方式. 管理好API安全性 API的安全性涉及到各种端到端的数据保护,它们依次包括:来自客户端的请求经由网络到达服务器/后端,由服务器/后端发送相应的响应,响应横跨网络,最后到达客户端,这一系列的过程.因此,API的安全性可以大致分为如下四种不同的类别,…

如何设计好的RESTful API之安全性

保证RESTful API的安全性,主要包括三大方面: a) 对客户端做身份认证 b) 对敏感的数据做加密,并且防止篡改 c) 身份认证之后的授权 1.对客户端做身份认证,有几种常见的做法: 1)在请求中加签名参数,为每个接入方分配一个密钥,并且规定一种签名的计算方法.要求接入方的请求中必须加上签名参数. 这个做法是最简单的,但是需要确保接入方密钥的安全保存,另外还要注意防范replay攻击.其优点是容易理解与实现,缺点是需要承担安全保存密钥和定期更新密钥的负担,而且不够灵活,更新密钥和升级签名…

使用JWT设计SpringBoot项目api接口安全服务

转载直: 使用JWT设计SpringBoot项目api接口安全服务…

服务API版本控制设计与实践

一.前言 笔者曾负责vivo应用商店服务器开发,有幸见证应用商店从百万日活到几千万日活的发展历程.应用商店客户端经历了大大小小上百个版本迭代后,服务端也在架构上完成了单体到服务集群.微服务升级. 下面主要聊一聊在业务快速发展过程中,产品不断迭代,服务端在兼容不同版本客户端的API遇到的问题的一些经验和心得.一方面让团队内童鞋对已有的一些设计思想有一个更彻底的理解,另一方面也是希望能引起一些遇到类似场景同行的共鸣,提供解决思路. 二.通用解决方案 应用商店客户端迭代非常频繁,发布新的APP版本的时…

使用ASP.NET Web Api构建基于REST风格的服务实战系列教程【八】——Web Api的安全性

系列导航地址http://www.cnblogs.com/fzrain/p/3490137.html 前言 这一篇文章我们主要来探讨一下Web Api的安全性,到目前为止所有的请求都是走的Http协议(http://),因此客户端与服务器之间的通信是没有加密的.在本篇中,我们将在“StudentController”中添加身份验证功能——通过验证用户名与密码来判断是否是合法用户.众所周知,对于机密信息的传递,我们应该使用安全的Http协议(https://)来传输 在Web Api中强制使用Ht…

[转]使用ASP.NET Web Api构建基于REST风格的服务实战系列教程【八】——Web Api的安全性

本文转自:http://www.cnblogs.com/fzrain/p/3552423.html 系列导航地址http://www.cnblogs.com/fzrain/p/3490137.html 前言 这一篇文章我们主要来探讨一下Web Api的安全性,到目前为止所有的请求都是走的Http协议(http://),因此客户端与服务器之间的通信是没有加密的.在本篇中,我们将在“StudentController”中添加身份验证功能——通过验证用户名与密码来判断是否是合法用户.众所周知,对于机密…

[转]在 Azure 云服务上设计大规模服务的最佳实践

本文转自:http://technet.microsoft.com/zh-cn/magazine/jj717232.aspx 英文版:http://msdn.microsoft.com/library/azure/jj717232.aspx 作者:Mark Simms 和 Michael Thomassy 供稿作者:Jason Roth 和 Ralph Squillace 审阅者:Brad Calder.Dennis Mulder.Mark Ozur.Nina Sarawgi.Marc Merc…

微服务中台落地 中台误区 当中台遇上DDD,我们该如何设计微服务

小结: 1. 微服务中台不是 /1堆砌技术组件就是中台 /2拥有服务治理就是中台 /3增加部分业务功能就是中台 /4Cloud Native 就是中台 https://mp.weixin.qq.com/s/uuaraAWReOYeZuEJiLs9dw 企业微服务中台落地实践和思想之我见 From  朱德明 InfoQ 4/3 微服务和中台是这几年非常时髦随处可见的词,最先在一批互联网企业中开始谈论和建设,并逐渐的蔓延至一些传统企业和传统的 IT 部门,以至于现在在构建信息系统时,很多企业都在说要…