api介面加密
❶ 什麼是簽名伺服器和APP之間的API介面和數據怎麼保證安全
apk簽名相當於程序的身份識別代碼。
apk簽名用於程序編譯打包之後,手機在運行程序之前會先去驗證程序的簽名(可以看作類似於我們電腦上常說的md5)是否合法,只有通過了驗證的文件才會被運行,所以簽名軟體的作用的讓文件通過手機的驗證為合法,不同的手機、系統是對應不同的簽名的。
進行加密通訊防止API外部調用
伺服器端與客戶端各自會存儲一個TOKEN,這個TOKEN我們為了防止反編譯是用C語言來寫的一個文件並做了加殼和混淆處理。
在客戶端訪問伺服器API任何一個介面的時候,客戶端需要帶上一個特殊欄位,這個欄位就是簽名signature,簽名的生成方式為:
訪問的介面名+時間戳+加密TOKEN 進行整體MD5,並且客戶端將本地的時間戳作為明文參數提交到伺服器
伺服器首先會驗證這兩個參數:驗證時間戳,如果時間誤差與伺服器超過正負一分鍾,伺服器會拒絕訪問(防止被抓包重復請求伺服器,正負一分鍾是防止時間誤差,參數可調整),
然後伺服器會根據請求的API地址和提交過來的時間戳再加上本地存儲的token按照MD5重新生成一個簽名,並比對簽名,簽名一致才會通過伺服器的驗證,進入到下一步的API邏輯
❷ java rest api介面 怎麼保證安全性
嘗試這樣加密:
客戶端:
1、設置一個key(和伺服器端相同)
2、根據上述key對請求進行某種加密(加密必須是可逆的,以便伺服器端解密)
3、發送請求給伺服器
伺服器端:
1、設置一個key
2、根據上述的key對請求進行解密(校驗成功就是「信任」的客戶端發來的數據,否則拒絕響應)
3、處理業務邏輯並產生結果
4、將結果反饋給客戶端
❸ 開放的API介面的安全性問題
其實我有個比較簡單的方法。
APP調用後台介面的時候,把登陸APP的用戶名和密碼拼接到參數串里,用RSA公鑰對參數串加密並傳遞給後台。後台介面在得到此參數後,用私鑰解密並與資料庫中的用戶名密碼進行比對,如果符合則說明是正常訪問。
你覺得這樣可行嗎?
❹ 如何保證API介面安全
1.對重要內容加密變成秘文傳輸
2.對內容用進行完整性和被修改的驗證。
3.加token 進行許可權的驗證。
❺ php開發api介面,如何做才算是安全的
這個問題很深
安全,不敢當,因為web安全問題很多,不僅僅是PHP編碼而已,有很多安全上的問題需要做處理,像伺服器漏洞、埠開放都會導致被黑,這都是很正常的。
只能說 比如在我做PHP開發過程的一些安全保護和在網路安全公司開發時的工作要求:
1、最基礎的,提供的api介面 要配置https。
2、api返回響應的信息,要盡可能使用消息加密返回,如高位數的 rsa加密內容。
3、接收的回調開放介面,盡可能做到使用回調黑、白名單,如加ip白名單放行,或ip黑名單禁止訪問。
4、不要相信用戶輸入、輸入信息要進行編碼轉換、轉義、過濾、使用框架和插件進行處理,如MySQL查詢的要進行參數綁定、如顯示問題要避免xss攻擊會進行過濾。
5、授權操作,錯誤限制設置閥值、超過閥值限制訪問、如最基礎的登錄功能。
6、常見額弱口令問題導致漏銅,應設置高強度口令,避免程序爆破。
7、文件上傳問題、應嚴格校驗文件類型、後綴、格式、及文件目錄許可權設置,從而避免文件上傳漏洞導致惡意代碼或webshell攻擊。
8、開發環境和生產環境隔開,不要再生產上面開debug、及時更新使用框架漏洞補丁如PHP國內常用 tp系列以前偶爾爆出漏洞(我用的較多就是tp5 ....),還有框架不要用最新要選擇最穩定的。
最後注意不管是驗證還是過濾,在客戶端執行過一次也好,在服務端,都要再次執行驗證和校驗。
和盛之文 我的文章保存網站,歡迎訪問學習或參考
❻ 如何寫出安全的API介面
1.完全開放的介面
有沒有這樣的介面,誰都可以調用,誰都可以訪問,不受時間空間限制,只要能連上互聯網就能調用,毫無安全可言。
實話說,這樣的介面我們天天都在接觸,你查快遞,你查天氣預報,你查飛機,火車班次等,這些都是有公共的介面。
我把這稱之為裸奔時代。代碼如下:
/// <summary>
/// 介面對外公開
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("NoSecure")]
public HttpResponseMessage NoSecure(int age)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
2.介面參數加密(基礎加密)
你寫個介面,你只想讓特定的調用方使用,你把這些調用的人叫到一個小屋子,給他們宣布說我這里有個介面只打算給你們用,我給你們每人一把鑰匙,你們用的時候拿著這把鑰匙即可。
這把鑰匙就是我上文說到的參數加密規則,有了這個規則就能調用。
這有安全問題啊,這裡面的某個成員如果哪個不小心丟了鑰匙或者被人竊取,掌握鑰匙的人是不是也可以來掉用介面了呢?而且他可以復制很多鑰匙給不明不白的人用。
相當於有人拿到了你的請求鏈接,如果業務沒有對鏈接唯一性做判斷(實際上業務邏輯通常不會把每次請求的加密簽名記錄下來,所以不會做唯一性判斷),就會被重復調用,有一定安全漏洞,怎麼破?先看這個場景的代碼,然後繼續往下看!
/// <summary>
/// 介面加密
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign")]
public HttpResponseMessage SecureBySign([FromUri]int age, long _timestamp, string appKey, string _sign)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 校驗簽名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "簽名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
3.介面參數加密+介面時效性驗證(一般達到這個級別已經非常安全了)
繼上一步,你發現有不明不白的人調用你的介面,你很不爽,隨即把真正需要調用介面的人又叫來,告訴他們每天給他們換一把鑰匙。和往常一樣,有個別夥伴的鑰匙被小偷偷走了,小偷煞費苦心,經過數天的踩點觀察,准備在一個月黑風高的夜晚動手。拿出鑰匙,搗鼓了半天也無法開啟你的神聖之門,因為小偷不知道你天天都在換新鑰匙。
小偷不服,經過一段時間琢磨,小偷發現了你們換鑰匙的規律。在一次獲得鑰匙之後,不加思索,當天就動手了,因為他知道他手裡的鑰匙在第二天你更換鑰匙後就失效了。
結果,小偷如願。怎麼破?先看這個場景的代碼,然後繼續往下看!
/// <summary>
/// 介面加密並根據時間戳判斷有效性
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign/Expired")]
public HttpResponseMessage SecureBySign_Expired([FromUri]int age, long _timestamp, string appKey, string _sign)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 判斷請求是否過期---假設過期時間是20秒
DateTime requestTime = GetDateTimeByTicks(_timestamp);
if (requestTime.AddSeconds(20) < DateTime.Now)
{
result.ReturnCode = -1;
result.Message = "介面過期";
return GetHttpResponseMessage(result);
}
#endregion
#region 校驗簽名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "簽名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
4.介面參數加密+時效性驗證+私鑰(達到這個級別安全性固若金湯)
繼上一步,你發現道高一尺魔高一丈,仍然有偷盜事情發生。咋辦呢?你打算下血本,給每個人配一把鑰匙的基礎上,再給每個人發個暗號,即使鑰匙被小偷弄去了,小偷沒有暗號,任然無法如願,而且這樣很容易定位是誰的暗號泄漏問題,找到問題根源,只需要給當前這個人換下鑰匙就行了,不用大動干戈。
但這個並不是萬無一失的,因為鑰匙畢竟還有可能被小偷搞到。代碼如下:
/// <summary>
/// 介面加密並根據時間戳判斷有效性而且帶著私有key校驗
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign/Expired/KeySecret")]
public HttpResponseMessage SecureBySign_Expired_KeySecret([FromUri]int age, long _timestamp, string appKey, string _sign)
{
//key集合,這里隨便弄兩個測試數據
//如果調用方比較多,需要審核授權,根據一定的規則生成key把這些數據存放在資料庫中,如果功能擴展開來,可以針對不同的調用方做不同的功能許可權管理
//在調用介面時動態從庫里取,每個調用方在調用時帶上他的key,調用方一般把自己的key放到網站配置中
Dictionary<string, string> keySecretDic = new Dictionary<string, string>();
keySecretDic.Add("key_zhangsan", "");//張三的key,
keySecretDic.Add("key_lisi", "");//李四的key
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 判斷請求是否過期---假設過期時間是20秒
DateTime requestTime = GetDateTimeByTicks(_timestamp);
if (requestTime.AddSeconds(20) < DateTime.Now)
{
result.ReturnCode = -1;
result.Message = "介面過期";
return GetHttpResponseMessage(result);
}
#endregion
#region 根據appkey獲取key值
string secret = keySecretDic.Where(T => T.Key == appKey).FirstOrDefault().Value;
#endregion
#region 校驗簽名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("appSecret", secret);//把secret加入進行加密
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "簽名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
❼ APP中api加密和服務端解密一般是怎麼做
一般是用戶登錄成功後,伺服器返回給客戶端一個token值(自己定義規則生成一個唯一的識別碼)比如abcdefg1234567一串字元32位左右。
每次客戶端請求api介面時,都帶上這個token值,伺服器端根據演算法生成token值和客戶端傳過來的進行比較,校驗成功才可以去處理邏輯。否則認為是非法請求。
❽ 在雲計算中雖然api介面傳輸採用https進行加密傳輸但部分介面仍存在的風險是
可以將所有傳輸協議都採用HTTPS加密協議傳輸就可以了,沒有用的埠封掉就可以了。
❾ 如何設計API介面,請求介面時需要進行身份驗證,防止第三方隨意調用介面
1. 設定一個密鑰比如key = 『2323dsfadfewrasa3434'。
2. 這個key 只有發送方和接收方知道。
3. 調用時,發送方,組合各個參數用密鑰 key按照一定的規則(各種排序,MD5,ip等)生成一個access_key。一起post提交到API介面。
4. 接收方拿到post過來的參數以及這個access_key。也和發送一樣,用密鑰key 對各個參數進行一樣的規則(各種排序,MD5,ip等)也生成一個access_key2。
5. 對比access_key 和access_key2 。一樣。則允許操作,不一樣,報錯返回或者加入黑名單。
❿ thinkadmin介面用什麼加密
thinkadmin介面用JWT加密。
主要需要修改用戶的模型路徑,創建API介面控制器,在代碼里引用useZewailApiFacadesJWT;然後就可以在介面請求中獲取token。