Java基础学习总结（180）——如何保证API接口安全

Posted 2021-05-29 科技D人生

一、摘要

在实际的业务开发过程中，我们常常会碰到需要与第三方互联网公司进行技术对接，例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务，如果你是一个创业型互联网，大部分可能都是对接别的公司api接口。当你的公司体量上来了时候，这个时候可能有一些公司开始找你进行技术对接了，转变成由你来提供api接口，那这个时候，我们应该如何设计并保证API接口安全呢？

二、方案介绍

最常用的方案，主要有两种：

• token方案
• 接口签名

2.1、token方案

其中 token 方案，是一种在web端使用最广的接口鉴权方案，我记得在之前写过一篇《手把手教你，使用JWT实现单点登录》的文章，里面介绍的比较详细，有兴趣的朋友可以看一下，没了解的也没关系，我们在此简单的介绍一下 token 方案。

从上图，我们可以很清晰的看到，token 方案的实现主要有以下几个步骤：

• 1、用户登录成功之后，服务端会给用户生成一个唯一有效的凭证，这个有效值被称为token
• 2、当用户每次请求其他的业务接口时，需要在请求头部带上token
• 3、服务端接受到客户端业务接口请求时，会验证token的合法性，如果不合法会提示给客户端；如果