API安全機制

api 安全機制

介面的安全性主要圍繞token、timestamp和sign三個機制展開設計，保證介面的資料不會被篡改和重複呼叫，下面具體來看：

token授權機制：使用者使用使用者名稱密碼登入後伺服器給客戶端返回乙個token（

通常是uuid），並將token-userid以鍵值對的形式存放在快取伺服器中。服務端接收到請求後進行token驗證，如果token不存在，說明請求無效。

token是客戶端訪問服務端的憑證。

時間戳超時機制：使用者每次請求都帶上當前時間的時間戳timestamp，服務端接收到timestamp後跟當前時間進行比對，如果時間差大於一定時間（

比如5分鐘），則認為該請求失效。

時間戳超時機制是防禦dos攻擊的有效手段。

簽名機制：將 

token 和 

時間戳 加上其他請求引數再用md5或sha-1演算法（可根據情況加點鹽）加密，加密後的資料就是本次請求的簽名sign，服務端接收到請求後以同樣的演算法得到簽名，並跟當前的簽名進行比對，如果不一樣，說明引數被更改過，直接返回錯誤標識。

簽名機制保證了資料不會被篡改。

拒絕重複呼叫（非必須）：客戶端第一次訪問時，將簽名sign存放到快取伺服器中，

超時時間設定為跟時間戳的超時時間一致，二者時間一致可以保證無論在timestamp限定時間內還是外 url都只能訪問一次。如果有人使用同乙個url再次訪問，如果發現快取伺服器中已經存在了本次簽名，則拒絕服務。如果在快取中的簽名失效的情況下，有人使用同乙個url再次訪問，則會被時間戳超時機制攔截。這就是為什麼要求時間戳的超時時間要設定為跟時間戳的超時時間一致

。拒絕重複呼叫機制確保url被別人截獲了也無法使用（如抓取資料）。

整個流程如下：

1、客戶端通過使用者名稱密碼登入伺服器並獲取token

2、客戶端生成時間戳timestamp，並將timestamp作為其中乙個引數

3、客戶端將所有的引數，包括token和timestamp按照自己的演算法進行排序加密得到簽名sign

4、將token、timestamp和sign作為請求時必須攜帶的引數加在每個請求的url後邊（http://url/request?token=123×tamp=123&sign=123123123）

5、服務端寫乙個過濾器對token、timestamp和sign進行驗證，只有在

token有效、timestamp未超時、快取伺服器中不存在sign三種情況同時滿足，本次請求才有效

在以上三中機制的保護下，

如果有人劫持了請求，並對請求中的引數進行了修改，簽名就無法通過；

如果有人使用已經劫持的url進行dos攻擊，伺服器則會因為快取伺服器中已經存在簽名或時間戳超時而拒絕服務，所以dos攻擊也是不可能的；

如果簽名演算法和使用者名稱密碼都暴露了，那齊天大聖來了估計也不好使吧。。。。

API安全機制之授權

api安全機制之認證 如果請求是被授權的，則將請求交給api業務處理，如果請求時未被授權的，則將請求立刻轉給http 403狀態碼 訪問控制 acl access control lists 簡單易用，實現容易，無法滿足複雜的業務需求，不易管理 rbac role based access cont...

mysql安全機制 Mysql安全機制

在mysql下mysql庫中有6個許可權表 mysql.user 使用者字段，許可權字段，安全字段，資源控制字段 mysql.db mysql.host 使用者字段，許可權字段 mysql.tables priv，mysql.columms priv，mysql.procs priv 一 使用者管理...

api介面安全

介面的安全性主要圍繞token timestamp和sign三個機制展開設計，保證介面的資料不會被篡改和重複呼叫，下面具體來看 token授權機制 使用者使用使用者名稱密碼登入後伺服器給客戶端返回乙個token 通常是uuid 並將token userid以鍵值對的形式存放在快取伺服器中。服務端接收...