申明:本筆記引用了 的一些內容,並結合自己的理解與思考,歡迎指正。1.1 什麼是api安全
api是系統提供服務的介面,外部(web、mobile、server等)請求api,經過一些業務邏輯後,返回響應。api安全主要涉及網路安全、應用安全、資訊保安。
1.1.1 api 安全目標
api安全目標:機密性、完整性、可用性;
1.1.2 api 風險
api風險:stride,欺騙、干預(不希望被修改的資料、訊息或設定被改掉)、否認、資訊洩露、拒絕服務、越權(做了你不希望他能做的事)。
1.1.3 風險與安全機制對應關係
1.1.4 安全機制與流程
使用者發起乙個請求,會經過「流控」,拒絕多餘的請求,接著進行「認證」,確保使用者是他宣告的身份,接著「審計」,記錄誰什麼時候做了什麼,接著「授權」,決定乙個請求是否可以被執行,最後進入業務邏輯。其中還有」加密「是在請求開始到業務邏輯就貫穿前後。
加密流控-> 認證 -> 審計-> 授權-> 業務邏輯
網際網路安全(二)
數字簽名 使用公鑰加密技術實現的用於鑑別數字資訊的方法,由資訊的傳送者產生的別人無法偽造的一段數字串,放鬆方用乙個雜湊函式從報文中生成報文摘要 digest 然後使用自己的私鑰對該摘要加密,加密後的摘要即時該報文的數字簽名。接收方需要用和加密是一樣的雜湊函式從接收到的報文中算出報文摘要,然後再用傳送...
網際網路安全加密
1.加密理解 加密型別 分為單向加密和雙向加密 加密演算法 演算法分為對稱性加密演算法和非對稱性加密 對稱性加密理解 對於對稱性加密演算法,資訊接收雙方都需事先知道密匙和加解密演算法且其密匙是相同的,之後便是對資料進行加解密了。非對稱性加密理解 非對稱演算法與之不同,傳送雙方a,b事先均生成一堆密匙...
網際網路安全內容安全及防護
網路安全防護是一種網路安全技術,指致力於解決諸如如何有效進行介入控制,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。防護措施 訪問控制 對使用者訪問網路資源的許可權進行嚴格的認證和控制。例如...