2022整合樂娛Api介面開啟對接後樂娛介面全程安全呼叫教程
先思考一個問題,你在寫整合開放的樂娛API介面時是如何保證呼叫的資料安全性問題?先來看看有哪些安全性問題在開放的api介面呼叫中,我們通過http Post或者Get方式請求伺服器的時候,會面臨著那些安全性問題困擾,例如:
-
請求來源(身份)是否合法?
-
請求引數被篡改?
-
請求的唯一性(不可複製)
為了保證資料在通訊時的安全性,我們可以採用引數簽名的方式來進行相關驗證。
樂娛Api介面開啟對接案列分析
我們通過給caichen .cc[移動端(app)] 寫 [後臺介面(api)] 的案例進行分析:
客戶端: 以下簡稱app
後臺介面:以下簡稱樂娛api
我們通過app查詢產品列表這個操作來進行分析:
app中點選查詢按鈕==》呼叫api進行查詢==》返回查詢結果==>顯示在app中
上程式碼啦 -_-!
一、不進行驗證的方式
api查詢介面:caichen,cc
app呼叫:引數1=value1.......
如上,這種方式簡單粗暴,通過呼叫getproducts方法即可獲取產品列表資訊了,但是 這樣的方式會存在很嚴重的安全性問題,沒有進行任何的驗證,大家都可以通過這個方法獲取到產品列表,導致產品資訊洩露。
那麼,如何驗證呼叫者身份呢?如何防止引數被篡改呢?
二、MD5引數簽名的方式
我們對api查詢樂娛產品介面進行優化:
1.給app分配對應的key、secret
2.Sign簽名,呼叫API 時需要對請求引數進行簽名驗證,簽名方式如下:
a. 按照請求引數名稱將所有請求引數按照字母先後順序排序得到:keyvaluekeyvalue...keyvalue 字串如:將arong=1,mrong=2,crong=3 排序為:arong=1, crong=3,mrong=2 然後將引數名和引數值進行拼接得到引數字串:arong1crong3mrong2。
b. 將secret加在引數字串的頭部後進行MD5加密 ,加密後的字串需大寫。即得到簽名Sign
新api介面程式碼:
app呼叫: key=app_key& sign=BCC7C71CF93F9CDBDB88671B701D8A35&引數1=value1&引數2=value2.......
注:secret 僅作加密使用, 為了保證資料安全請不要在請求引數中使用。
如上,優化後的請求多了key和sign引數,這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品資料。這樣就解決了身份驗證和防止引數篡改問題,如果請求引數被人拿走,沒事,他們永遠也拿不到secret,因為secret是不傳遞的。再也無法偽造合法的請求。
但是...這樣就夠了嗎?細心的同學可能會發現,如果我獲取了你完整的連結,一直使用你的key和sign和一樣的引數不就可以正常獲取資料了...-_-!是的,僅僅是如上的優化是不夠的
請求的唯一性:
為了防止別人重複使用請求引數問題,我們需要保證請求的唯一性,就是對應請求只能使用一次,這樣就算別人拿走了請求的完整連結也是無效的。
唯一性的實現:在如上的請求引數中,我們加入時間戳 :timestamp(yyyyMMddHHmmss),同樣,時間戳作為請求引數之一,也加入sign演算法中進行加密。
新的api介面:
app呼叫:
key=app_key&
sign=BCC7C71CF93F9CDBDB88671B701D8A35&
timestamp=201603261407&引數1=value1&引數2=value2.......
如上,我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求連結也是無效的。
Sign簽名安全性分析:
通過上面的案例,我們可以看出,安全的關鍵在於參與簽名的secret,整個過程中secret是不參與通訊的,所以只要保證secret不洩露,請求就不會被偽造。
總結
上述的Sign簽名的方式能夠在一定程度上防止資訊被篡改和偽造,保障通訊的安全,這裡使用的是MD5進行加密,當然實際使用中大家可以根據實際需求進行自定義簽名演算法,比如:RSA,SHA等。
基於api專案的特殊性,它需要有一個完全安全的環境,所以,你的api控制器看起來有點特別,只有5個方法,而且都是標準的http方法,我覺得這種設計很不錯,很清晰,而且為了實現安全性,它不支援使用傳統的表單資料,取而代之的是FromBody引數,它指拿HttpRequestMessage裡引數,而不是所有的Request資料,這都是基於安全方面的考慮。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70017243/viewspace-2892926/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何安全加固樂娛API介面,遠離漏洞風險?API
- 2022年開設樂娛API介面供應商後臺以及完善的API的 4個基本特徵解讀API特徵
- 騰訊娛樂&艾漫資料:關於90後娛樂選擇的22個真相
- DataEye:泛娛樂開啟遊戲行業新時代遊戲行業
- 暢享日本娛樂圈:探索日本住宅IP的娛樂之旅
- 終於有人能把c#樂娛LEY介面的作用講明白了C#
- XR Era:腦機介面 - 顛覆現有的一切娛樂形式腦機介面
- QQ音樂api介面梳理API
- ThinkPHP3 娛樂站PHP
- 網上正規娛樂微投電投的娛樂平臺哪裡有
- 小清新的娛樂網站網站
- 華納娛樂平臺可靠嗎
- 品質影音體驗,暢享娛樂生活丨HMS Core.Sparkle影音娛樂創新線上沙龍報名啟動Spark
- 我發現娛樂社交網站網站
- 微軟關閉Xbox娛樂工作微軟
- 迪威娛樂開戶遊戲v加-44138926遊戲
- 05 - 微信小程式例項開發 - 綜合小娛樂微信小程式
- 華納娛樂代理申請18788378457
- 雲鼎娛樂線上遊戲-18788378457遊戲
- 程式猿生存指南-21 自娛自樂
- 樂Max 2詳細全面評測:最發燒!最娛樂!
- 後端介面對接注意事項後端
- 新百勝正規娛樂平臺
- 雲鼎娛樂遊戲上分-18788378457遊戲
- 雲鼎娛樂APP下載-18788378457APP
- 介面供應商提供的AG介面BB IN介面對接文件demo教程
- 一款新版峰遊互娛娛樂原始碼金幣+卡房玩法原始碼
- 娛樂明星與電競的接軌 解析WCA2015擇偶之路
- 如何呼叫api介面API
- 網易雲音樂Q2財報:營收漲超30%,押注社交娛樂營收
- api介面如何對接?(帶你瞭解api介面的相關知識)API
- 快遞查詢介面通用API(JAVA對接)APIJava
- 星輝娛樂,欲募資3億開發8款遊戲遊戲
- 影音娛樂應用開發,這些關鍵詞請查收
- GOOVIS頭戴影院開創全新高質量娛樂方式Go
- 嚴肅遊戲領軍人物馬丁:遊戲不止娛樂遊戲
- 華納娛樂遊戲app下載v加-44138926遊戲APP
- 福利來娛樂APP下載v扣44138926APP