首先問大家一個(gè)問題,你在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的?先來看看有哪些安全性問題在開放的api接口中,我們通過http Post或者Get方式請(qǐng)求服務(wù)器的時(shí)候,會(huì)面臨著許多的安全性問題,例如:

  1. 請(qǐng)求來源(身份)是否合法?

  2. 請(qǐng)求參數(shù)被篡改?

  3. 請(qǐng)求的唯一性(不可復(fù)制),防止請(qǐng)求被惡意攻擊

為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用TOKEN+參數(shù)簽名的方式來進(jìn)行相關(guān)驗(yàn)證。

 

 

比如說我們客戶端需要查詢產(chǎn)品信息這個(gè)操作來進(jìn)行分析,客戶端點(diǎn)擊查詢按鈕==》調(diào)用服務(wù)器端api進(jìn)行查詢==》服務(wù)器端返回查詢結(jié)果

一、不進(jìn)行驗(yàn)證的方式

api查詢接口:

客戶端調(diào)用:http://api.XXX.com/getproduct?id=value1

如上,這種方式簡單粗暴,在瀏覽器直接輸入"http://api.XXX.com/getproduct?id=value1",即可獲取產(chǎn)品列表信息了,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問題,沒有進(jìn)行任何的驗(yàn)證,大家都可以通過這個(gè)方法獲取到產(chǎn)品列表,導(dǎo)致產(chǎn)品信息泄露。
那么,如何驗(yàn)證調(diào)用者身份呢?如

網(wǎng)友評(píng)論