java开发 Rest 接口怎样设计api_key 也就是我的api怎样才能不被自由访问,需要在header加入验证

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了java开发 Rest 接口怎样设计api_key 也就是我的api怎样才能不被自由访问,需要在header加入验证相关的知识,希望对你有一定的参考价值。

以下仅供参考:
如果rest端要自己维护api_key,类似存储在数据库里,就分发(授权)给客户端某个api_key,然后客户端用api_key和一些其他条件如时间戳+签名去rest端换取一个token,最后客户端用这个token和rest端进行交互,可以参考下微信的oauth鉴权.

如果rest端不维护api_key,也就省去分发(授权)客户端api_key的工作,此时客户端用传递的参数和其他条件如时间戳+签名去rest端换取一个token..同上

上述所说的token都是唯一的,对于同一个客户端的请求而言,下次刷取token的时候,之前产生的token作废;
token本身应该要维持在rest端,也应该有一个过期的限制;
(参数)+(api_key)+时间戳 通过加密算法(如sha2)生成签名,rest端同逻辑校验签名是否合法一般就能卡掉一大部分的访问,
至于api_key或者token放在哪里,一般无状态访问比较常见是在head里(常见如angularjs项目),这里我觉得随意,因为只要被拦截都可见,只是head可以放比较多的东西用来障目就是了.

当然,如果正在用的token被拦截,同样也是可以随意访问的,因此可能要求https协议加证书应该会更牢固点(没试过);

一般就这样,再高的我也不懂了,如果陈述有什么问题,者有什么看法,也还请不吝赐教~ 参考技术A function nTabs(thisObj,Num)
if(thisObj.className == "active")return;
var tabObj = thisObj.parentNode.id;
var tabList = document.getElementById(tabObj).getElementsByTagName("li");
for(i=0; i <tabList.length; i++)
追问

这是什么

0226 rest接口设计

? ? ? ? ? ?技术图片

背景

为了更方便的书写和阐述问题,文章中按照第一人称的角度书写。作为一个以java为主要开发语言的工程师,我所描述的都是java相关的编码和设计。

工程师的静态输出就是代码和文档,动态的就是各种应用程序(app,h5站点,微信公众号,小程序)。动态的先不讨论,主要讨论静态的。
随意查看一个代码库,可以看到代码的编写过程,某些代码可能在现在看来实现很低效和可笑,但是在当时的技术和时间场景下,肯定是最优的输出。
也可以在gitlab上看看每次的pull request ,看看当时对这些代码的codeReview ;
反馈出的问题就是程序的设计非常重要。而接口是功能的抽象,相对比较稳定,对团队来说影响比较大。

**

API设计原则

先给接口来个简单的定义:即协议,约定了请求和响应的参数和格式。

接口设计要求是:
1.简洁;
2.考虑到向后兼容;

业界有一些基本的原则:

1 restfull

restfull是一种设计风格,一切接口皆是资源。


目前是设计的主流,思想也非常先进。

2 参数结构化

请求和响应中的参数要结构化,好处是易读易用。

3 安全


这个怎么重要都不为过,接口设计必须考虑认证和授权,保证特定的人只能访问特定的资源。


同时需要注意在日志中不能含有用户和系统的敏感信息。

4 客户端无关

也就是接口要通用,可以处理不同客户端的请求。一般在接口设计的时候,可以带入透传参数,比如时区,位置(省市区),系统类型,系统版本,应用类型,应用版本等;

5 幂等

即接口的第一次请求的结果和后面N次的重试结果要不变,需要结合场景来保证。

API设计实践

接口框架选型

有了接口设计的原则,可以挑选一个可靠的接口框架来支持自己的工作,

一个好的接口框架应该有如下特点:

  1. 对访问控制的支持;
  2. 自动测试的支持;
  3. 请求响应格式和序列化的支持;
  4. 日志和日志过滤的支持;
  5. 自动生成文档的支持;
  6. 对架构和性能的影响较小;

我一般选的springmvc,因为平时工作跟spring贴合的比较紧,而且spring有各种生态,适合在不同的行业和公司使用。jersey也用,虽然灵活,但是不具备普遍适用性;

设计中的平衡

1 设定团队的API设计和实现模式

api太自由,会影响团队的协作,而共同约定api的设计模式和实现模式可以解决这个问题。

2 避免过度设计

要综合考虑向后的兼容性,但是只实现当前软件当前阶段必须的功能点。

3 谨慎使用AOP

面向切面编程可以在跟业务无关的垂直领域处理问题,比如日志,监控,解析等;可以提高代码的重用性和规范性;

但是也有缺点,比如,增加了测试和分析的难度,也对研发人员要求比较高。

所以需要综合考虑。

4 可维护性和性能之间要平衡

接口实现进行封装可以提高可维护性,但是也会带来性能开销,所以也是需要综合考虑的。

**

小结

通过本篇文章你可以学到如下内容:

  • [ ] 接口设计的原则
  • [ ] 接口设计框架选型要点
  • [ ] 接口设计过程中的设计实践问题

设计良好的接口,可以提高软件的复用性,提高团队的输出效率和质量。

技术图片

原创不易,转载请注明出处。

以上是关于java开发 Rest 接口怎样设计api_key 也就是我的api怎样才能不被自由访问,需要在header加入验证的主要内容,如果未能解决你的问题,请参考以下文章

0226 rest接口设计

如何设计一个优雅的RESTFUL的接口

基于Java的REST架构风格及接口安全性设计的讨论

webAPI怎样做到统一接口调用

RESTful设计原则和样例(开发前后台接口)

总结常见的违背Rest原则的接口设计做法