IT源码网

api调用安全讲解

xmjava 2021年02月16日 编程语言 192 0
直接传 key 简直就是多此一举啊,随便监听一下网络就能把你的 key 盗走。  
最简单的方式是使用签名,各大开放平台都是这样做的,性能好,安全性不错。  
 
签名基本原理是通过 key/secret 的实现:  
1, 服务器负责为每个客户端生成一对 key/secret ( key/secret 没有任何关系,不能相互推算),保存,并告知客户端。  
2, 当客户端调用 api 时,根据某种规则将所有请求参数串联起来并用 secret 生成签名 sign 。  
3, 将 sign 和 key 一起放进请求参数对服务器进行调用。(注意 secret 不要传)  
4, 服务端收到请求,根据 key 去查 secret ,然后用同样的算法,验证签名。  
5, 为避免重放攻击,可加上 timestamp 参数,指明客户端调用的时间。服务端在验证请求时若 timestamp 超过允许误差则直接返回错误。  
 
以上,即使第三方知道了你的算法, key 等信息,由于无法捕获到 secret ,也无法推算,因此是安全的。最好是把 api 布署成 https 的。

 

发布评论
IT源码网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

PHP设置Cookie的HTTPONLY属性讲解
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。