基於http的api,怎麼保證安全性?
當前的資訊系統,安全第一道關卡,當然就是密碼了。api也不例外。要麼就是一次性登入,獲得乙個短期內有效的token;要麼就是每次請求都帶上賬號和密碼。
如果是每次都帶上賬號和密碼,那麼api站點必須要求使用https,否則有洩露風險。當然變通方法可以是採用非對稱加密,將密碼用公鑰加密後傳送,服務端用私鑰解密。但是,這麼一來,客戶端的工作量變大,不一定可行。
如果是採用token方式,則意味著伺服器端要儲存客戶端的狀態。按照rest風格,有:
1、網路上所有事物都可以抽象成資源所謂無狀態,就是說伺服器不會維持客戶端的狀態,所有操作都有冪等性,同乙個操作,就算操作千萬次,都是同樣處理。2、每個資源都有唯一的標識
3、通過介面對資源進行操作
4、對資源的各種操作不會改變資源的標識
5、所有的操作無狀態
當然啦,維持請求者的狀態的伺服器,和提供api的伺服器邏輯上分開,這樣就不矛盾啦。
不知道我的理解是否正確。
web api安全
api安全性設計
介面的安全性主要圍繞token timestamp和sign三個機制展開設計,保證介面的資料不會被篡改和重複呼叫,下面具體來看 token授權機制 使用者使用使用者名稱密碼登入後伺服器給客戶端返回乙個token 通常是uuid 並將token userid以鍵值對的形式存放在快取伺服器中。服務端接收...
對於api安全性的思考
目前的情況下api被很多地方應用,隨之而來的是api的安全性問題。我所認識到的安全性問題有以下幾個方面 1 ddos 拒絕服務攻擊 介面被惡意呼叫,使真實的使用者無法享受到正常暢通的服務。這個比較單純,也比較容易處理,通過ip限制來做,並且輔以一些硬體裝置應該就沒問題了,同時伺服器 商也可以提供相應...
API介面安全性設計
介面的安全性主要圍繞token timestamp和sign三個機制展開設計,保證介面的資料不會被篡改和重複呼叫,下面具體來看 token授權機制 使用者使用使用者名稱密碼登入後伺服器給客戶端返回乙個token 通常是uuid 並將token userid以鍵值對的形式存放在快取伺服器中。服務端接收...