镇江市住房城乡建设局网站,做国内网站多少钱,中国搜索引擎市场份额,做阿里巴巴网站有什么用前面的文章说了接口数据如何获取#xff0c;今天就来聊聊接口数据的安全问题。说到接口加密验证#xff0c;通常都称作“签名”#xff0c;类似于名人的个性签名#xff0c;让其它人无法模仿。比如说请求接口删除自己写的文章#xff0c;又或者请求接口查询自己的帐单明细…前面的文章说了接口数据如何获取今天就来聊聊接口数据的安全问题。说到接口加密验证通常都称作“签名”类似于名人的个性签名让其它人无法模仿。比如说请求接口删除自己写的文章又或者请求接口查询自己的帐单明细。被抓到接口地址然后随便改动下参数岂不是就能随意删除别人的文章或者得到别人的帐单明细了。通常接口签名就是在接口请求时加上一条签名参数来让后台识别“身份“。1.0 最简单的 直接带上密钥一些接口资源网站对于免费用户就提供了这种签名方式。要求每次请求数据时带上预先提供的密钥。比如 www.testapi.com/date/list/json,在请求时参数里加上 signiamlilei。这种方式是相当LOW的防御力相当于0。提供接口的人根本就没打算安全验证加上签名只是为了方便统计接口使用次数以方便计费。2.0 升级版 隐藏id,改用token最开始说了如果是删除内容的接口参数中就肯定有文章编号用户身份的标识。如果使用id这种数字形式的参数很容易被冒用。但是如果给用户创造一个复杂的名字比如’asdfWEkKjH788J’这种字母加数字加大小写加特殊字符的形式相信没人猜得出规律了。即使被人抓到接口地址他也改不了其它用户的数据。但是有些资源类的接口比如获取最新新闻最新天气等这类接口就不存在身份了怎么防止别人免费使用你的接口呢3.0 定时更新token用户身份是固定的但token是可以经常更新签名是和用户身份绑定的请求时也要带上。这样别人无法掌握你最新的密钥自然也无法使用了。目前这种签名是最普遍的比如微信公众号各种认证都是用的这种方式。4.0 加密签名通常我们做到第三步效率高安全度也可以。但是非要找一个不会被冒用接口的方法。肯定也是有的就是加密签名。首先服务端提供给客服端一串密钥类似token.请求接口时我们不发送token而是先把token与当前时间戳拼接并使用md5等固定的算法加密成sign参数然后把时间戳与sign添加到请求参数里。这样服务收到请求后同样把用户对应的token和时间戳拼接再加密最后做判断是否一致。当然时间戳肯定是有时效的可以设置成3秒。使用这样的方式不透露密钥不透露加密算法是很难被冒用的。总结学术的东西没有最好只有更好。具体使用哪种方式还需要针对具体的场景。如果只是在后端使用可以使用最简单的方式。但是涉及到用户数据那就要防范了。
