API数据安全解决方案

    选择打赏方式

 接口安全要求:

            1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口)

            2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改)

            3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)

            4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等)


      (1)API数据的加密和解密

            ①为什么数据要加密?

                答:防止黑客在数据传输过程中(获取)篡改用户(服务器)发送(接收)的数据。

            ②数据怎么去加密?

                答:使用加密算法进行加密,加密算法分为对称加密算法(AES、DES)、非对称加密算法(RSA、SHS)、不可逆加密算法(MD5),分别对应数据加密、身份认证、数据安全传输。API数据传输过程中使用MD5加密和对称加密算法比较合适,非对称加密算法计算量太大对服务器资源消耗太多。 接口调用方和接口提供方约定好加密算法和加密方式,在每次请求后携带加密后的签名和数据进行传输(也可以全部加密),接口提供方(调用方)在收到请求后进行解密确保数据的安全性。

              

      (2)确保请求的唯一性、时效性(sign)

            ①为什么要确保API请求的唯一性和时效性?

                答:防止黑客在截取到用户请求的情况下进行重放攻击。

            ②如何确保请求的唯一性、时效性

                答:在签名中携带时间戳,不可逆算法需要明文传输时间戳进行对比(对称和非对称只需要携带时间戳进行加密,不需要明文传输)。接口提供方每次接收到请求解密成功后检查唯一性,然后将签名(sign)写入缓存(文件缓存、Redis...)。



版权声明:若无特殊注明,本文皆为《 楚天之怒 》原创,转载请保留文章出处。
本文链接:API数据安全解决方案 https://www.chutianzhinu.com/post-65.html
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框

吃奶的力气提交吐槽中...


既然没有吐槽,那就赶紧抢沙发吧!