开放API接口安全设计
前言
随着项目前后端分离的火热,后台开发的重点主要是对外提供接口,那么API接口的安全就是要考虑的问题。前后端分离和传统的开发模式有很大的差异,本文将针对以下问题进行探讨:
- 前后分离和传统项目的区别
- 为什么前后分离需要关注接口安全问题
- 攻击方式有哪些
- 如何保障接口的安全
一、前后分离和传统项目的区别
1:前端渲染方式不同
传统项目是前后端不分离的,后端通过模板渲染引擎在后端渲染前端页面然后发送到浏览器展现。不同的语言有不同的模板渲染引擎比如JAVA有jsp、beetl、hanldlebars,PHP有Smarty、Twig、Haml,nodejs有ejs、jade等。然而前后端分离之后前端的渲染工作将交给前端项目自行渲染,后台只通过API接口来提供数据。
2:客户端状态维护方式不同
传统项目通过session来维护后端和客户端的状态,然而前后分离后接口请求(ajax)是无状态请求(当然也可以修改配置来达到有状态,但是这种方式对于分布式部署来说是不可取的,当然配置session共享后也可以达到目的,但是这样对负载均衡有一定的副作用)。前后分离后一般通过token的方式来维护请求状态。
二、为什么前后分离需要关注接口安全问题
接口是通过http请求的方式来请求和获取数据的,这样的请求是可以通过抓包工具来拦截请求的,如果不处理的话会有很大的安全隐患。比如获取短信的接口被拦截那么别人就可以恶意刷你的短信流量,上传文件接口被拦截别人可以恶意上传从而导致服务器崩溃。黑客还可以通过Dos或CSRF来攻击服务器,所以接口安全还是很重要的。
三、攻击方式有哪些
常见的web攻击方式有:XSS、CSRF、SQL注入、DDOS、重放。
XSS(跨站脚本攻击):对所有用户提交内容进行可靠的输入验证对“<”,“>”,“;”,“””等字符做过滤。
CSRF(跨站请求伪造 cross site request forgery):
通过伪装来自受信任用户的请求来利用受信任的网站,可以利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号
例如:你在A网站登录了账号,在没有退出的情况下访问了B网站,B网站有黑客上传的图片且地址为A网站的接口。如果A网站存在CSRF漏洞那么你在B网站时相当于你时A的登录用户,那么B的图片地址请求的接口就被伪造成你的合法请求。
防御:尽量使用POST;cookie设置为HttpOnly;增加token;通过Referer识别。
重放攻击:利用抓包工具将请求重复多次发送的方式来达到攻击服务器的目的。可以通过请求时效性来防御。
四、如何保障接口的安全
1:调用身份认证token(防CSRF攻击)
用户登录时根据用户生成token用来后期识别用户身份
2:参数签名(防篡改)
对appkey(客户端标识),token,url,参数,timestamp,rand进行MD5签名。
请求到达服务器时需要用相同的方法进行签名并和发送过来的签名进行对比,如果不同就说明请求参数被篡改过。
3:时效性(防重放和DDos攻击)
通过timestamp和redis来限制请求的时效
首先根据项目情况设定一个有效时长比如设为60s
当请求到达服务器时首先拿timestamp和系统时间对比,如果在60s内那么timestamp校验通过,如果大于60s那么请求过期。
如果只通过timestamp来防重放那么在60s内还是可以重放请求的,所以这样还是不够的。
我们还需要设置一个nonce。
请求到达服务器时去redis中查找key为nonce:{sign}的string,如果没有就创建这个key并把失效期设置为timestamp的失效期比如是60s,如果有说明在60s内这个请求已经请求过那么这个请求可以判断为重放请求。
因为客户端和服务器的timestamp可能存在误差如果误差大于60s那么所有的请求就都被拦截了,如何解决这个问题呢?我们可以在每个接口返回时都返回一个timestamp,客户端通过这个timestamp来调整本地的timestamp这样timestamp就已服务端为准了。
校验流程图如下:
开放API接口安全设计相关推荐
- 开放 API 接口安全设计思路
开放API接口安全校验的背景: 在未进行安全处理的开放 API 接口存在诸多的风险问题,如以下三种常见场景: 1.场景一 A 公司开发的开放 API 未对接口进行安全控制,有黑客通过爬虫程序调用开放 ...
- 拒绝接口裸奔!开放API接口签名验证!
点击上方蓝色"方志朋",选择"设为星标" 回复"666"获取独家整理的学习资料! 来源:r6d.cn/kChH 接口安全问题 请求身份是否合 ...
- 腾讯会议开放API接口,为企业打造专属的“腾讯会议”
远程办公需求在疫情期间爆发,推动各行各业加速企业内外部协同效率的数字化改造.基于这样的背景,腾讯会议宣布开放API接口,无论是企业IT.系统集成商.SaaS服务商,均可轻松适配多种会议场景需求,同时还 ...
- 开放API接口签名验证,让你的接口从此不再裸奔
点击上方蓝色"终端研发部",选择"设为星标" 学最好的别人,做最好的我们 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessK ...
- 开放API接口整合多元办公能力,企业微信助IT企业打造高效办公平台
5月11日,企业微信线下行业交流沙龙--IT行业专场来到北京,产品团队在现场深入解读了企业微信如何更好地帮助IT企业兼顾效率与成本,满足IT企业办公的高效.轻便和移动化. 此次活动,艺龙网及众安保险作 ...
- 天行数据的开放API接口
天行数据的开放API接口: 接口名称 链接 简介 微信链接转换 https://www.tianapi.com/apiview/89 将临时链接转为永久链接 查询微信全文 https://www.ti ...
- 银行开放api接口_开放标准API如何彻底改变银行业
银行开放api接口 英国政府已委托英国银行进行可行性研究,以使客户能够通过开放标准API与第三方共享交易数据. 早在12月的秋季声明中首次提到,总理现在就在3月的最新预算中概述了强制性开放银行API标 ...
- (七、api接口安全设计)莞工校招助手【微服务应用】
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 -- 自定义注解,防止表单重复提交 参考 安全|API接口安全性设计(防篡改和重复调用) 参考 API接口安全设计 参考 数据加密 ...
- 那些返回一句精美句子的开放api接口
文章目录 前言 ONE一句 用法 响应 前端调用 特点 官网 一言网 用法 响应 前端调用 特点 官网 前言 由于本人需要,需要一个开放的接口返回一句精美句子,后来我在网上还真找到了两个很方便的开放 ...
最新文章
- mysql--------命令来操作表
- 人工智能时代下的视觉合成
- java rmi 超时_java RMI服务超时
- 2020-10-03
- mysql导入.sql文件及常用命令_MySQL导入.sql文件及常用命令
- Java 网络实例二(查看主机指定文件的最后修改时间、Socket实现多线程服务器程序、Socket连接到指定主机、网页抓取)
- java编程int和byte的用法_Java中的Byte Array和Int转换
- 环境变量的配置导致无法登录
- 模拟get和post请求(支持自定义header和测试CDN节点)
- java中 有return 的情况,return以及try,finally代码块的执行顺序
- 正版Fiddler下载地址
- VS2015 调试代码时写入位置时发生访问冲突
- mysql 雷同数值连续出现次数_MySql中关于某列中相同数值连续出现次数的统计
- html运行页面一直处在加载状态的解决
- 随机森林模型调参方法
- python获取验证码失败_python 爬虫:验证码一直错误
- 土豆皮,蒜苗长短,胡萝卜
- 使用nvm管理node和npm
- PLC_SCL数据查找算法
- 比KEEP更好,运动健身、塑形瘦身的小程序新选择