API接口安全性设计
2023-09-14 09:15:26 时间
一套完整的能力范围,要涵盖哪些方面?
最近在做毕设嘛,这一块以前从来没有关注过,这不是大学阶段最后一个学生项目了嘛,使劲的折腾,不断的翻新。对,业务层接口经过我一天半的努力已经全部交付给客户端了,不过我改主意了,我要返厂重做,在不影响客户端联调的前提下。
我要加上这个新功能。
网上这类文章不少,但是我还要写,表示我现在知道这个东西了。
Part1 令牌
玩过爬虫的都知道,cookie是个什么东西。
一图胜千言:
签名
爬虫完多了就知道什么叫抓包了嘛。当然,网络攻击的中间人咱是没做过。
为了防止中间人攻击(客户端发来的请求被第三方拦截篡改),引入参数的签名机制。
防抖节流
我不当中间人好多年,我拿着一些正当账号,DOS我玩不够,我分布式DOS。你怎么办呢?
首先客户端需要做防抖,这不能让我服务端来做。
降级的时候也需要客户端来做第一道防线,服务端自己也要有措施。
怎么办呢?时间戳。
以上三个总结一下:
客户端处再做个防抖。
再高逼格一点
三层token :
1 临时token(有效期短)
2 长期token(有效期长) ,一般在登录的时候获取,临时token失效后,通过长期token获取。
3 用户token(做混淆,可选)
备注:不限于三层token,根据业务,安全性和效率做出平衡。
备注:http升级为https,也可以作为提升安全性的手段,移动端一定要做代码混淆,防止加密算法泄漏,web端利用cookie,session等内存操作来保证安全(内存操作相对是安全的,黑客无法获取用户的内存信息),最后请记住,没有绝对的安全,关键是你为你的应用安全提高多少门槛。
相关文章
- PHP API接口测试小工具
- 【IoT平台北向API调用】使用Postman调用Https接口
- spring boot: 设计接口站api的版本号,支持次版本号(spring boot 2.3.2)
- API接口设计 注意问题
- 由一次安全扫描引发的思考:如何保障 API 接口的安全性?
- 免费接口api测试
- 最稳定万能vip视频解析接口 支持HTTPS
- spring boot:接口站增加api版本号后的安全增强(spring boot 2.3.3)
- 电影大全 API接口
- (二)DepthAI-python相关接口:OAK Pipeline
- Atitit attilax提出的软件开发发展趋势与概念 1. 长期化 复用化 跨平台 可移植性1 2. 通用化 通用 化的渠道至少有3种1 2.1. 模块化1 2.2. 标准化接口1 2
- Atitit.常用语言的常用内部api 以及API兼容性对源码级别可移植的重要性 总结
- Atitit.自定义存储引擎的接口设计 api 标准化 attilax 总结 mysql
- 调用微信接口,模式二
- Angular Public API 接口设计
- ASP.NET Core微服务(七)——【docker部署linux上线】(RDS+API接口测试部分)
- Android bluetooth介绍(一):基本概念及硬件接口
- js调用百度地图接口绘制任意多边形并获取每个点的经纬度等
- spring boot 单元测试 --- 在测试类使用 javabean注解操作接口
- 随机获取图片的api接口
- 接口测试学习路线图 (上)
- PostMan做接口测试方法集锦
- 一文从0到1学会Postman 接口自动化测试
- android 如何调用 隐藏的 API 接口
- 自动化测试===unittest和requests接口测试案例,测试快递查询api(二)
- python api接口认证脚本
- 【Android入门】10、天气预报 App 的接口、UI 实战
- 高性能对象存储MinIO学习&API使用&使用api创建文件夹&MinIO工具类
- 百度地图/腾讯地图/世界开源地图经纬度API查询接口
- 接口安全是如何保证的?
- 关于接口的安全性测试,这几点你应该掌握了