你在寫開放的API接口時是如何保證數據的安全性的莱找?我們通過http Post或者Get方式請求服務器的時候欺冀,會面臨著許多的安全性問題希坚,例如:
- 請求來源(身份)是否合法柴钻?
- 請求參數被篡改?
- 請求的唯一性(不可復制)
為了保證數據在通信時的安全性嵌屎,我們可以采用參數簽名的方式來進行相關驗證推正。
案列分析
我們通過給某 [移動端(app)] 寫 [后臺接口(api)] 的案例進行分析:
- 客戶端: 以下簡稱app
- 后臺接口:以下簡稱api
我們通過app查詢產品列表這個操作來進行分析:
app中點擊查詢按鈕==》調用api進行查詢==》返回查詢結果==>顯示在app中
一、不進行驗證的方式
api查詢接口:
http://api.test.com/getproducts?參數1=value1.......
如上宝惰,這種方式簡單粗暴植榕,通過調用getproducts方法即可獲取產品列表信息了,但是 這樣的方式會存在很嚴重的安全性問題尼夺,沒有進行任何的驗證尊残,大家都可以通過這個方法獲取到產品列表,導致產品信息泄露淤堵。
那么寝衫,如何驗證調用者身份呢?如何防止參數被篡改呢拐邪?
二慰毅、MD5參數簽名的方式
我們對api查詢產品接口進行優(yōu)化:
- 給app分配對應的key、secret
- Sign簽名扎阶,調用API 時需要對請求參數進行簽名驗證汹胃,簽名方式如下:
a. 按照請求參數名稱將所有請求參數按照字母先后順序排序得到:keyvaluekeyvalue...keyvalue 字符串如:將arong=1,mrong=2,crong=3 排序為:arong=1, crong=3,mrong=2 然后將參數名和參數值進行拼接得到參數字符串:arong1crong3mrong2婶芭。
b. 將secret加在參數字符串的頭部后進行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign
新api接口代碼:
http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35
&參數1=value1&參數2=value2.......
注:secret 僅作加密使用, 為了保證數據安全請不要在請求參數中使用着饥。
如上犀农,優(yōu)化后的請求多了key和sign參數,這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品數據宰掉。這樣就解決了身份驗證和防止參數篡改問題呵哨,如果請求參數被人拿走,沒事轨奄,他們永遠也拿不到secret,因為secret是不傳遞的孟害。再也無法偽造合法的請求。
但是...這樣就夠了嗎戚绕?細心的同學可能會發(fā)現(xiàn)纹坐,如果我獲取了你完整的鏈接,一直使用你的key和sign和一樣的參數不就可以正常獲取數據了...-_-!是的舞丛,僅僅是如上的優(yōu)化是不夠的耘子。
三、保證請求的唯一性
為了防止別人重復使用請求參數問題球切,我們需要保證請求的唯一性谷誓,就是對應請求只能使用一次,這樣就算別人拿走了請求的完整鏈接也是無效的吨凑。
唯一性的實現(xiàn):在如上的請求參數中捍歪,我們加入時間戳:timestamp
(yyyyMMddHHmmss),同樣鸵钝,時間戳作為請求參數之一糙臼,也加入sign算法中進行加密。
新的api接口:
http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35
×tamp=201603261407&參數1=value1&參數2=value2.......
如上恩商,我們通過timestamp時間戳用來驗證請求是否過期变逃。這樣就算被人拿走完整的請求鏈接也是無效的。
Sign簽名安全性分析:
通過上面的案例怠堪,我們可以看出揽乱,安全的關鍵在于參與簽名的secret,整個過程中secret是不參與通信的粟矿,所以只要保證secret不泄露凰棉,請求就不會被偽造。
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造陌粹,保障通信的安全撒犀,這里使用的是MD5進行加密,當然實際使用中大家可以根據實際需求進行自定義簽名算法,比如:RSA或舞,SHA等隧膏。
