安科网

API接口安全性设计思路

anqier

anqier

2019-06-27

关注 关注

在工作中经常遇见项目对接,那么该如何写一个安全的接口供给对方调用呢???

1.公共接口,任何人都可以访问调用
1.1.适合场景,公司后台整合广告管理,提供统一的接口返回给公司其他项目调用和邮件模板调用,这时候需要设计一个统一的接口,返回广告的内容。还有天气查询等场景。

@PostMapping("/syncInfo")  
 public Result syncInfo(@RequestParam(name = "data")String data){  
       if(!StringUtils.isNotBlank(data)){  
           return  new Result("失败!",false,HttpCode.STATUS_104);  
       }  
       InfoVo infoVo = JSONObject.parseObject(data,InfoVo.class);  
       dealInfo(infoVo);  
       return  new Result("成功!",true, HttpCode.STATUS_200);  
 }

2.接口参数加密
2.1.适合场景,公司内部两个项目组进行对接,为了防止接口被暴露和伪造访问,这个时候需要对参数进行加密处理,防止接口被其他外部人员调用,一般采用desc或者aes对称加密,约定好秘钥进行对接。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          dealInfo(infoVo);  
          return  new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return  new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
}

3.接口时效性加密+接口参数加密
3.1.适合场景,内部接口加密过的数据链接被暴露,不断有相同数据对接口进行访问,这个适合需要对接口加入时间戳参数,设计失效时间解决这个问题。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){  
              return new Result("接口失效!",false,HttpCode.STATUS_100);  
          }  
          dealInfo(infoVo);  
          return new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
  
}

4.接口时效性+接口参数加密+不同来源的私钥
4.1适合场景, 当接口秘钥被泄露时,我们可以对不同的数据来源设置不同的私钥,这样即使接口秘钥被泄露,没有私钥,依然不能对接口进行操作,而且可以记录是哪个项目的秘钥被泄露,快速定位出问题的来源,且不会影响其他项目调用。

@PostMapping("/syncInfo")  
public Result syncInfo(@RequestParam(name = "data")String data){  
    try {  
          if(!StringUtils.isNotBlank(data)){  
              return  new Result("失败!",false,HttpCode.STATUS_104);  
          }  
          DES des = new DES("基础秘钥".getBytes());  
          String j = des.decryptStr(data);  
          logger.debug("解码前:" + data);  
          logger.debug("解码后:" + j);  
          InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class);  
          if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){  
              return  new Result("接口失效!",false,HttpCode.STATUS_100);  
          }  
          String sign = getSignByFrom(Info.getFrom());  
          logger.debug("来源秘钥"+sign);  
          String k = des.decryptStr(Info.getData);  
          dealInfo(k);  
          return  new Result("成功!",true, HttpCode.STATUS_200);  
      }catch (Exception e){  
            e.printStackTrace();  
            if(!StringUtils.isNotBlank(data)){  
                return  new Result("系统错误!",false,HttpCode.STATUS_105);  
            }  
      }  
}

data 设计思路 接口 api接口

anqier

anqier

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Python接口自动化(六) session关联接口

登录OPMS,新增项目,使用fiddler抓包;python代码,参考fiddler抓包内容,填写;查看OPMS项目中多了一条“蛋糕1”的项目;如上,session关联接口就是这么简单!!!

dxbjfu0 2020-07-26

Linux日志文件系统原来是这样工作的

文件系统要解决的一个关键问题是怎样防止掉电或系统崩溃造成数据损坏,在此类意外事件中,导致文件系统损坏的根本原因在于写文件不是原子操作,因为写文件涉及的不仅仅是用户数据,还涉及元数据包括 Superblock、inode bitmap、inode、data

zhjn0 2020-11-24

Python爬虫破解登陆哔哩哔哩的方法

作为一名找不到工作的爬虫菜鸡人士来说,登陆这一块肯定是个比较大的难题。从今天开始准备一点点对大型网站进行逐个登陆破解。加深自己爬虫水平。if response_json['code'] == 0 and response_json['data']['sta

夜斗不是神 2020-11-17

前端api请求缓存方案

在开发 web 应用程序时,性能都是必不可少的话题。对于webpack打包的单页面应用程序而言,我们可以采用很多方式来对性能进行优化,比方说 tree-shaking、模块懒加载、利用 extrens 网络cdn 加速这些常规的优化。而事实上,缓存一定是提

学习web前端 2020-11-09

读取、创建和运行多个文件的3个Python技巧

将代码投入生产时,你很可能需要处理代码文件的组织。读取、创建和运行许多数据文件非常耗时。本文将向你展示如何自动。这些技巧为我在数据科学项目中节省了很多时间。我希望你也会发现它们有用!当我们有3个以上的数据时,这是可以的,但不是有效的。现在我们可以访问“da

waiwaiLILI 2020-11-03

【赵强老师】Flink的DataSet算子

Flink为了能够处理有边界的数据集和无边界的数据集,提供了对应的DataSet API和DataStream API。我们可以开发对应的Java程序或者Scala程序来完成相应的功能。下面举例了一些DataSet API中的基本的算子。下面我们通过具体的

raidtest 2020-10-09

Shell 判断文件夹或文件是否存在

-f filename 如果 filename 为常规文件,则为真 [ -f /usr/bin/grep ]. -x filename 如果 filename 可执行,则为真 [ -L /usr/bin/grep ]

myccc 2020-09-24

别找了,这是Pandas最详细教程了

Python 是开源的,它很棒,但是也无法避免开源的一些固有问题:很多包都在做同样的事情。如果你是 Python 新手,那么你很难知道某个特定任务的最佳包是哪个,你需要有经验的人告诉你。有一个用于数据科学的包绝对是必需的,它就是 pandas。pandas

jzlixiao 2020-09-15

SAP Data Intelligence里的Kafka Producer和Consumer

新建一个graph,使用典型的生产者-消费者模型:将Data Generator生成的数据交给kafka Producer operator;而Kafka Consumer从kafka producer里读取出data Generator生成的数据,通过T

guicaizhou 2020-09-15

基于python实现简单C/S模式代码实例

C/S模式就是指客bai户端/服务器模式,du是计算机软件协同工作的一种模式。由于Web浏览器的兴起,B/S模式逐步取代了daoC/S模式,被更广泛地应用。PC机的资源没有大型、中型甚至小型主机丰富,但将多台PC机联成网,必然会增加资源含量,各个用户都在网

digwtx 2020-09-14

mongodb的java客户端

<artifactId>spring-boot-starter-data-mongodb</artifactId>. private Long id;private String userName;private String pa

大秦铁骑 2020-08-19

mongodb的java客户端

<artifactId>spring-boot-starter-data-mongodb</artifactId>. private Long id;private String userName;private String pa

thatway 2020-08-19

mongodb的java客户端

<artifactId>spring-boot-starter-data-mongodb</artifactId>. private Long id;private String userName;private String pa

lovecodeblog 2020-08-19

mongodb 4.0副本集搭建的全过程

近期有同学问mongodb副本集难不难部署,我的回答是不难,很快,几分钟搞定,比mysql MHA简单的不止一点半点。选择版本并下载mongodb的软件,注意操作系统版本等。本次我选用的是percona分支的mongodb 4.2.8版本搭建,操作系统为c

codetyper 2020-08-16

TensorFlow 2入门指南,初学者必备!

TensorFlow是谷歌推出的深度学习框架,于2019年发布了第二版。它是世界上最著名的深度学习框架之一,被行业专家和研究人员广泛使用。Tensorflow v1难以使用和理解,因为它的Pythonic较少,但是随着Keras发行的v2现在与Tenso

comwayLi 2020-08-16

.Net Core使用MongoDB的详细教程

MongoDB 是由C++语言编写的,是一个基于分布式且面向文档存储的开源数据库系统。Mongodb默认用id做主键,因此不会显式的指定id是主键。Mongdb中没有内置"自增字段",可以把id声明为ObjectId类型,这样插入以后就

MongoDB数据库 2020-08-16

推荐5个实用的Pandas技巧

效率已成为及时完成工作的关键因素。一个人不应该花超过合理的时间去完成事情。尤其是当任务涉及基本编码时。使用Pandas库能节省你的时间。Pandas是一个开源包。它有助于用Python语言执行数据分析和数据操作。此外,它还为我们提供了灵活的数据结构。Pan

cjsyrwt 2020-08-14

11个技巧让你编写出更好的Python代码

在本教程中,我们将展示11个技巧来编写更好的Python代码!我们展示了许多优秀实践,它们通过使代码更加简洁和更具python风格来改进代码。如果我们需要遍历一个列表,并且需要跟踪索引和当前项,大多数人会使用range语法。这将以元组的形式返回当前索引和当

Tristahong 2020-08-05

开源 Spring Boot 中 Mongodb 多数据源扩展框架

开源 Spring Boot 中 Mongodb 多数据源扩展框架原创 尹吉欢 猿天地 2019-04-25在日常工作中,我们通过Spring Data Mongodb来操作Mongodb数据库,在Spring Boot中只需要引入spring-boot-

csuzxm000 2020-08-02

ES6 中Promise 使用

ES6中一个非常重要和好用的特性就是Promise. Promise是异步变成的一种解决方案。我们什么时候回处理异步事件呢?一种很常见的应用场景就是网络请求。我们封装一个网络请求的函数,因为不能立即拿到结果,所有不能直接显示结果返回。所以往往我们会传入另外

前端开发Kingcean 2020-07-30
anqier

anqier

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号