开放式API安全防护的七大原则

开放式API安全防护的原则与方法
已于 2024-03-20 17:13:03 修改
阅读量3w 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 架构应用技术 消息中间件 文章标签: 网络 java 编程语言 安全 http
于 2021-01-19 08:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghuan0126/article/details/112856246
本文探讨了开放式API的安全防护,强调了签名的重要性,详细解释了API服务的签名原因和目的,包括验证请求来源、防止篡改和防重放攻击。文章介绍了API调用流程、关键参数如token、timestamp和sign的用途,并提出了API安全应用的七大原则,包括使用HTTPS、认证、授权、限流限速、验证和净化输入、数据按需开放以及避免暴露敏感信息。

我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。   

在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(即防窃取)?

API 是模块或者子系统之间交互的接口定义,优秀的系统架构离不开好良好的 API 设计,而一个设计不够完善的 API 则注定会导致系统的后续发展和维护非常困难。

下面我们就来讨论下常用的一些API设计的安全方法。

一、API服务为什么要签名?

首先要明确,接口服务需要解决的三个问题:

  • 请求是否合法:是否是我的信任方

  • 请求是否被篡改:是否被第三方劫持并篡改参数

  • 防止重复请求(防重放):是否重复请求

二、服务调用流程

1. 接口调用方(客户端)向接口提供方(服务器)申请接口调用账号,申请成功后,接口提供方会给接口调用方一个appId和一个key参数;

2. 客户端携带参数appId、timestamp、sign去调用服务器端的API token,其中sign=加密(appId + timestamp + key);

3. 客户端拿着api_token 去访问不需要登录就能访问的接口;

4. 当访问用户需要登录的接口时,客户端跳转到登录页面,通过用户名和密码调用登录接口,登录接口会返回一个usertoken, 客户端拿着usertoken 去访问需要登录才能访问的接口;

5. sign的作用是防止参数被篡改,客户端调用服务端时需要传递sign参数,服务器响应客户端时也可以返回一个sign用于客户端校验返回的值是否被非法篡改了。客户端传的sign和服务器端响应的sign算法可能会不同。

三、必要参数介绍

一般 token、timestamp 和

最低0.47元/天 解锁文章

200万优质内容无限畅学
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
AI安全开发:架构师必须遵循的SDL流程
最新发布
AI天才研究院
07-26 826
面对AI安全的严峻挑战,传统的"事后修补"模式早已失效。架构师需要从源头构建安全防线——AI安全开发生命周期(AI-SDL,AI Secure Development Lifecycle)。这是一套专为AI系统设计的安全开发框架,在传统SDL基础上,针对AI特有的数据、模型、算法风险,将安全活动嵌入从需求分析到系统退役的全流程。将"安全"从被动合规要求转化为主动设计目标。
开放平台API接口加密,签名策略
weixin_42212026的博客
11-26 6336
在设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,笔者在详细的查阅大量资料后,结合自身的过往经验,对于接口加密及签名的相关知识做了一个系统性的总结,在方便自己查阅的同时也分享给大家做一些参考,说明不当之处欢迎指正(参考文章下文末列出,如有侵权可及时联系删除) 接口安全性问题主要来源于几方面考虑: 1.防伪装攻击即请求来源是否合法?(案例:在公共网络环境中,第三方 有意或恶意 的调用我们...
【翻译】使用OpenAPI规范进行安全API设计
API
04-08 527
API安全性是网络安全的重中之重。诸如云原生应用程序,无服务器,微服务,单页面应用程序以及移动和物联网设备等新兴趋势和技术已导致API的激增。应用程序组件不再是在单个进程中在一台机器上彼此通信的内部对象,而是通过网络相互通信的API。 这显着增加了攻击面。此外,通过发现和攻击后端API,攻击者通常可以绕过前端控件,直接访问敏感数据和关键内部组件。这导致了API攻击的激增。每周,新闻中都会报道新的API漏洞。OWASP现在有专门针对API的十大漏洞的单独列表。而Gartner估计,到2022,API都将成为头
API是什么,如何保障API安全
yundun_no1的博客
07-22 360
例如,当你在手机APP上查看天气预报时,APP通过API向天气服务请求数据;API的普及让服务集成更高效,推动了互联网生态的快速发展。随着API成为数据交互的核心,其安全性也面临严峻挑战。根据报告,API已成为网络攻击的主要目标之一,数据泄露事件频发。保障API安全不仅是技术问题,更是保护用户隐私、维护企业信誉的法律与商业责任。API安全是动态过程,需结合技术、流程与意识共同维护。企业需建立安全规范,定期培训团队。在数字化时代,API安全不仅是技术防线,更是信任的基石——保护数据,就是守护未来。
各种开放API接口汇总信息
m0_48342140的博客
03-05 5148
各种提供JSON格式数据返回服务网站的API接口 这里为大家搜集了一些能够返回JSON格式的服务接口。部分需要用JSONP调用。 电商接口 淘宝商品搜索建议:http://suggest.taobao.com/sug?code=utf-8&q=商品关键字&callback=cb用例 ps:callback是回调函数设定 物流接口 快递接口:http://www.kuaidi100.com/query?type=快递公司代号&postid=快递单号测试用例...
Open API安全考虑
刘海龙的专栏
09-11 2506
很初级的简单想法,先记下来,慢慢完善。 一、管理 1、所有的秘钥都由我们生成并颁发。 2、我们需要存储: (1)我们自己的私钥、公钥。 (2)别人的公钥。 (3)所有公钥和实体(如:某组织、某组织中的某人、我们自己等)的对应关系。 3、颁发出去的私钥由安全的方法传递给对方(U盘拷贝?)。最大限度保护对方公钥和映射关系的私密性。 二、过程 1、身份认证过程: (1)不需要账号、密
API安全的防御建设
weixin_34128534的博客
01-10 294
应用程序编程接口(API)是公司企业为客户增加其产品价值的好办法。通过将数字资产和服务提供给更广大的受众,API已经发展成了核心业务重点,“API经济”都成了商业行话中的固定词组。API安全的防御建设API安全的防御建设 API项目中,既管理访问又保护系统,同时还参与数字生态系统的安全策略十分重要。应用程序主管必须设计、执行并监管有效API安全策略,包括API网关的使用。而随着该领域的发展和业内玩...
开放的api接口安全问题
07-27
- *1* [开放式API安全防护七大原则](https://blog.csdn.net/zhanghuan0126/article/details/112856246)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
《Python星球日记》第33天:前后端分离与 RESTful API
Code_流苏:在代码中寻诗意,在实践中觅真知
05-06 423
欢迎来到Python星球🪐的第33天!在前面的学习中,我们已经了解了Flask和Django这两个流行的Web框架的基础知识。今天,我们将探索现代Web应用开发中一个重要的概念:前后端分离与RESTful API
互联网常见Open API文档资源
博客简介
04-14 641
  所谓的开放API(OpenAPI)是服务型网站常见的一种应用,网站的服务商将自己的网站服务封装成一系列API(Application Programming Interface,应用编程接口)开放出去,供第三方开发者使用,这种行为就叫做开放网站的API,所开放的API就被称作OpenAPI(开放API)。   网站提供开放平台的API后,可以吸引一些第三方的开发人员在该平台上开发商业应用,平...
8互联网开放平台API安全架构设计.xmind
04-23
该xmind内容非常丰富,从如何保证外开发接口的安全性出发,讲到接口安全加密传输方案,再到各种加密方法和对应场景,应有尽有,推荐下载。
开放接口API安全
lazy的专栏
09-28 3890
服务端对外开放API接口,尤其对移动应用开放接口的时候,更需要关注接口安全性的问题,要确保应用APP与API之间的安全通信,防止数据被恶意篡改等攻击。 安全考量点 Token机制 开放接口时最基本需要考虑到接口不应该被别人随意访问,而我也不能随意访问到其他用户的数据,从而保证用户与用户之间的数据隔离。这个时候我们就有必要引入Token机制了。具体的做法: 在用户成功登录时,系统可以返回客户端...
API安全(二):API安全设计原则
weixin_43923647的博客
06-10 1189
很多API安全问题的产生的根源是缺少好的API安全设计,做好API安全设计有利于提升API自身的安全性。这里将讲2条设计原则:5A原则和纵深防御原则。 一、5A原则
开放API接口时要注意的安全处理总结
常敲代码手不生
09-08 700
数据泄露(爬虫将业务核心数据抓取造成间接损失)——token令牌鉴权认证:token的校验放到过滤器中进行判断(注意要排除掉免登陆的接口比如login接口),否则每个方法都要进行token校验,会增加重复性代码并且增加维护成本。数据窃取(密码等信息被窃取,盗刷,敏感信息的等)——RSA/DES加密。
Web 架构之 API 安全防护:防刷、防爬、防泄漏
懂搬砖
06-09 2603
API 安全防护是 Web 架构中不可或缺的一部分。通过防刷、防爬和防泄漏等措施,可以有效保护 API安全,防止数据被恶意利用。在实际应用中,需要根据具体的业务需求和安全风险,选择合适的防护措施,并不断优化和完善安全策略。同时,要关注安全技术的发展,及时更新和升级安全防护措施,以应对不断变化的安全威胁。
API安全防护解决方案
m0_70655343的博客
11-16 1253
通过被动流量分析,对业务流量进行采集、建模和数据分析,全面识别未知API、临时API、历史遗留API等“暗资产”并结合API资产导入,形成完整的API台账;而API作为落到URL级的新型资产,如果还是沿用以前的经验,就存在一定困难和挑战,也往往会导致无法采取相应的监控和防护手段,缺乏API资产的统一管理。API安全受到当下攻防双方越来越多的关注,除了基于SQL注入、XSS、命令注入等传统攻击方式外,基于权限和行为的API滥用、盗用、权限绕过等手段也成为攻击者的常见操作。,如口令爆破、DDoS攻击等;
App开放接口api安全性—Token签名sign的设计与实现
andyzhaojianhui的专栏
04-11 809
前言  在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端
API接口安全问题浅析
Fly_鹏程万里
02-22 1658
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

架构精进之路

觉得不错可以请作者喝杯茶

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值