在外部使用者訪問開放的api介面中,使用者請求伺服器的時候,會遇到以下問題:
請求身份是否合法
請求引數是否被篡改
請求的唯一性
為了保證資料在通訊時的安全性,我們可以採用引數簽名的方式來進行相關驗證。
2.sign簽名,呼叫api 時需要對請求引數進行簽名驗證,簽名方式如下:
a. 按照請求引數名稱,將所有請求引數按照字母先後順序排序合併,得到新的字串。如:將arong=1,mrong=2,crong=3 排序為:arong=1, crong=3,mrong=2 然後將引數名和引數值進行拼接得到引數字串:arong1crong3mrong2
b. 將secret加在引數字串的頭部後進行md5加密 ,即得到簽名sign。
此時新的api介面**:
注:secret 僅作加密使用, 為了保證資料安全請不要在請求引數中使用。
如上,優化後的請求多了key和sign引數,這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品資料。這樣就解決了身份驗證和防止引數篡改問題,如果請求引數被人拿走,也拿不到secret,因為secret是不傳遞的。再也無法偽造合法的請求。
但為了防止別人重複使用請求引數問題,我們需要保證請求的唯一性,就是對應請求只能使用一次,這樣就算別人拿走了請求的完整鏈結也是無效的。唯一性的實現:在如上的請求引數中,我們加入時間戳 :timestamp(yyyymmddhhmmss),同樣,時間戳作為請求引數之一,也加入sign演算法中進行加密。
如上,我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求鏈結也是無效的。
sign簽名安全性分析:
通過上面的案例,我們可以看出,安全的關鍵在於參與簽名的secret,整個過程中secret是不參與通訊的,所以只要保證secret不洩露,請求就不會被偽造。
python網路爬蟲 使用API之API通用規則
和大多數網路資料採集的方式不同,api用一套非常標準的規則生成資料,而且生成的資料也是按照非常標準的方式組織的。因為規則很標準,所以一些簡單 基本的規則很容易學,也可以幫你快速地掌握任意api的用法。不過並非所有的api都很簡單,有些api的規則是比較複雜的,因此第一次使用乙個api時,建議閱讀文件...
API介面簽名驗證
系統從外部獲取資料時,通常採用api介面呼叫的方式來實現。請求方和介面提供方之間的通訊過程,有這幾個問題需要考慮 1 請求引數是否被篡改 2 請求 是否合法 3 請求是否具有唯一性。今天跟大家 一下主流的通訊安全解決方案。引數簽名方式 這種方式是主流。它要求呼叫方按照約定好的演算法生成簽名字串,作為...
API介面簽名驗證
api介面分為開放介面和私密介面。什麼是開放介面?什麼是私密介面?我們乙個乙個介紹它們簽名的驗證,先介紹開放api介面。下面我們稱呼發布介面方為 api arg1 value1,name fdfd,age 12 按照引數名的字母前後順序進行重新排序 3.然後再將排序好的引數,加上secrte 加上當...