-如何保證API接口數(shù)據(jù)安全
-如何保證API接口數(shù)據(jù)安全
前后端分離的開發(fā)方式,我們以接口為標(biāo)準(zhǔn)來進(jìn)行推動(dòng)app接口防止重復(fù)提交,定義好接口,各自開發(fā)自己的功能,最后進(jìn)行聯(lián)調(diào)整合。無論是開發(fā)原生的APP還是還是PC端的軟件,只要是前后端分離的模式,就避免不了調(diào)用后端提供的接口來進(jìn)行業(yè)務(wù)交互。
網(wǎng)頁或者app,只要抓下包就可以清楚的知道這個(gè)請(qǐng)求獲取到的數(shù)據(jù),也可以偽造請(qǐng)求去獲取或攻擊服務(wù)器;也對(duì)爬蟲工程師來說是一種福音,要抓你的數(shù)據(jù)簡(jiǎn)直輕而易舉。那我們?cè)趺慈ソ鉀Q這些問題呢?
簽名規(guī)則
1、線下分配appid和,針對(duì)不同的調(diào)用方分配不同的appid和
2、加入(時(shí)間戳),5分鐘內(nèi)數(shù)據(jù)有效
3、加入臨時(shí)流水號(hào)nonce(防止重復(fù)提交),至少為10位。針對(duì)查詢接口,流水號(hào)只用于日志落地,便于后期日志核查。針對(duì)辦理類接口需校驗(yàn)流水號(hào)在有效期內(nèi)的唯一性,以避免重復(fù)請(qǐng)求。
4、加入簽名字段app接口防止重復(fù)提交,所有數(shù)據(jù)的簽名信息。
以上字段放在請(qǐng)求頭中。
簽名的生成
簽名字段生成規(guī)則
所有動(dòng)態(tài)參數(shù)= 請(qǐng)求頭部分 + 請(qǐng)求URL地址 + 請(qǐng)求參數(shù) + 請(qǐng)求Body
說明:上面的動(dòng)態(tài)參數(shù)以key-value的格式存儲(chǔ),并以key值正序排序,進(jìn)行拼接
最后拼接的字符串在拼接
=.( +)
即拼接成一個(gè)字符串,然后做md5不可逆加密。
請(qǐng)求頭部分
請(qǐng)求頭=“appId=xxxx&nonce=xxxx×tamp=xxxx&sign=xxx”
請(qǐng)求頭中的4個(gè)參數(shù)是必須要傳的,否則直接報(bào)異常
請(qǐng)求URL地址
這個(gè)就是請(qǐng)求接口的地址包含協(xié)議,如
請(qǐng)求參數(shù)
即請(qǐng)求為Get方式的時(shí)候,獲取的傳入的參數(shù)
請(qǐng)求Body
即請(qǐng)求為Post時(shí),請(qǐng)求體Body
從 中獲取保存為形式
簽名算法實(shí)現(xiàn)
基本原理其實(shí)也比較簡(jiǎn)單,就是自定義,對(duì)每個(gè)請(qǐng)求進(jìn)行處理;整體流程如下
1)驗(yàn)證必須的頭部參數(shù)
2)獲取頭部參數(shù),參數(shù),Url請(qǐng)求路徑,請(qǐng)求體Body,把這些值放入中進(jìn)行排序
3)對(duì)里面的值進(jìn)行拼接
4)對(duì)拼接的值進(jìn)行加密,生成sign
5)把生成的sign和前端傳入的sign進(jìn)行比較,如果不相同就返回錯(cuò)誤
以上是類,其中有個(gè)需要自己業(yè)務(wù)(后端去處理)去獲取,它的作用主要是區(qū)分不同客戶端app。并且利用獲取到的參與到sign簽名,保證了客戶端的請(qǐng)求簽名是由我們后臺(tái)控制的,我們可以為不同的客戶端頒發(fā)不同的。
我們?cè)賮砜纯打?yàn)證頭部參數(shù)
上圖其實(shí)就是驗(yàn)證是否傳入值;不過其實(shí)有個(gè)很重要的一點(diǎn),就是對(duì)此請(qǐng)求進(jìn)行時(shí)間驗(yàn)證,如果大于10分鐘表示此鏈接已經(jīng)超時(shí),防止別人來到這個(gè)鏈接去請(qǐng)求。這個(gè)就是防止盜鏈。
我們?cè)賮砜纯矗绾潍@取各個(gè)參數(shù)
上面我們獲取了各個(gè)參數(shù),相對(duì)比較簡(jiǎn)單;我們?cè)趤砜纯瓷蓅ign,和驗(yàn)證sign
上面的流程中,會(huì)有個(gè)額外的安全處理,
·防止盜鏈,我們可以讓鏈接有失效時(shí)間
·利用nonce參數(shù),防止重復(fù)提交
總結(jié)
今天我們用簽名的方式,對(duì)我們對(duì)外提供的接口起到了保護(hù)作用;但這種保護(hù)僅僅做到了防止別人篡改請(qǐng)求,或者模擬請(qǐng)求。
但是還是缺少對(duì)數(shù)據(jù)自身的安全保護(hù),即請(qǐng)求的參數(shù)和返回的數(shù)據(jù)都是有可能被別人攔截獲取的,而這些數(shù)據(jù)又是明文的,所以只要被攔截,就能獲得相應(yīng)的業(yè)務(wù)數(shù)據(jù)。
-如何保證API接口數(shù)據(jù)安全相關(guān)教程