接口安全性思考
2017-09-06 21:17
183 查看
现状:项目中一直遗留着一个问题,接口请求安全性问题。项目中的接口都是不设防的,一直都没校验请求的合法性。
需要达到的目的:过滤非本身app发出的请求,服务器能校验到客户端请求的合法性。
解决方案:1.直接上https(可以避免抓包);2.采用接口请求带上校验参数。
本文是通过【2.采用接口请求带上校验参数】进行处理接口安全问题。
要达到目的需要解决4个问题:
1.客户端和服务器通讯过程中需要带上一个共同都能识别的值(Token)
2.Token有2个注意点(a.该值是服务器返回的;b.该值是可变的并且服务器是能识别的)
3.客户端和服务器之间如何维护Token的不变部分和可变部分
4.如何让请求中的Token是不可解析的
解决思路(在接口传递过程中全程加密,并且客户端和服务器使用的加解密密钥有2套)
方法1:
1.客户端获取预授权码(预授权码是一次性的,并且有效期1分钟)
2.通过【预授权码+APPID】获取token和服务器当前时间戳(客户端需要维护服务器返回的时间戳;)
3.客户端每次请求都带上 【 token + 变化的时间戳 】
4.token有一个效期,时间戳有一个有效范围,只要token和时间戳有一个不正确都需要重新获取
加上时间戳的原因:维护一个变化的值,可以减少请求信息被抓取后模拟请求的情况;
使用服务器时间戳的原因:避免客户端时间不一致导致校验失败;
加密:因为如果不加密数据容易被模拟;
双向加密:增加破解难度;
加上Token原因:虽然有了变化的时间戳,但是因为只是用时间戳的情况下后台无法监控请求对应的信息,也无法控制请求的停止。
相关文章推荐
- 接口安全性思考
- 多重继承与接口的思考(2_of_n)
- 用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
- 安卓客户端权限验证,模拟session验证,解决服务端接口的安全性问题
- 工业物联网四大关键元素 网络、处理、接口与安全性
- 类对象接口的哲学思考
- App开放接口api安全性的设计与实现
- 对接口的思考——抽象与实现的分界
- App开放接口api安全性—Token签名sign的设计与实现
- 关于接口的一些思考
- 关于类、父类、抽象类、接口之间联系的一点点思考
- 用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
- 实现支付宝直接到账接口的程序思考
- api接口通信安全性
- 关于BroadCastReceiver安全性的思考
- App开放接口api安全性—Token签名sign的设计与实现
- 关于接口类和抽象类的思考
- petshop面向接口的思考
- 抽象类abstract和接口interface的区别与深入思考
- 22、C#:利用接口增加封装安全性