api服务端接口安全

Posted jun0052

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了api服务端接口安全相关的知识,希望对你有一定的参考价值。

api服务端接口安全性解析

http://blog.csdn.net/tenfyguo/article/details/8225279

常用的基于token的实现方案

http://blog.csdn.net/tenfyguo/article/details/8225279

 

token常常用在各种应用中,如下场景:

     1,用户输入密码和帐号后,系统进行验证后,生成一个session,分配一个sessionid给使用者,后续服务使用者就无需每次都输入密码和验证密码了,只需把对应的帐户和sessionid带上即可,后端只需进行高效的sessionid的有效性校验即可。解决了关键接口或者敏感接口的多次调用,并且对sessionid的有效期等可以进行管理。

     2,用户授权中使用,用户输入支付密码后,代表用户已经授权了,这时候系统自动生成一个长度比较长的token串返回给服务使用者,后续进行扣款的时候,则进行验证该token串的合法性即可,注意该串需要保证一定的长度,一次性有效,并且较短的有效期等特点。

    3,在开放平台中,对外外部站点的授权服务,用户授权后,同样可以给外部站点发放一个token,后续访问服务的时候,带上该token即可,避免每次均需要进行授权。

    4,引申出来的应用,在一个隔离的串行服务调用中,用户完成第一步需要进行一系列的接口调用,然后得出用户是否有权限或者资格进行参加某项服务,接下来,用户调用第二步,而第二步为了安全起见,仍然需要执行第一步的一系列接口调用,这种方式下,可以在第一步合格的用户系统颁发一个token,该token是一次性有效的,实现上,可以在第一次生成一条记录,以用户帐户和token一起为key,第二次进行update该记录来判断。这样的好处是防止两步的调用被隔离带来的风险。

       比如我们系统随机抽奖后给用户出现一个提示,告诉他已经中奖了,这个时候用户需要领取才能拿到奖,则可以在第一次给颁发一个token,领奖的时候把token带上进行验证即可。

以上是关于api服务端接口安全的主要内容,如果未能解决你的问题,请参考以下文章

移动端与PHP服务端接口通信流程设计(增强版)

深入浅出:了解前后端分离优势前后端接口联调以及优化问题

移动端接口碰到了服务器无法解析ios端传回?

私有云车牌识别支持app端pc端H5端接口调用

静态网站利用云函数 SCF + API 网关访问自定义后端接口

深入浅出:了解前后端分离优势以及前后端接口联调