openapi-用户绑定(passport)

最新推荐文章于 2022-04-28 14:35:01 发布
原创 最新推荐文章于 2022-04-28 14:35:01 发布 · 940 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开放平台 #velocity #平台 #url #rest #互联网

本文探讨了开放平台用户绑定的实现,强调了安全性和集成性的重要性。通过使用RESTful API,确保唯一地址进行用户操作,并利用Velocity等模板引擎实现页面通用性。同时,讨论了如何处理页面权限、信息隐秘性和URL统一性,以提升开放平台的兼容性和安全性。

支持所有外部平台的用户接口功能;

主要就是用户绑定和用户解绑等功能。

设计的难点和重点:

1)安全性

2)集成性

开放平台,是一个支持外部环境接口的开发空间,本人原来狭窄的认为那只是一个提供数据源的平台。自从用户绑定项目之后,对开放平台有了新的认识。开放平台不能只有数据,还要展示。

所以在这些的openapi升级过程中多了一个选项:format:html(在原来json/xml的基础之上)


首先从安全性说起,如何保证互联网的安全,这是一个博大的问题,那就说说一些简单的技巧:

   1.1)最少的页面跳转;如在用户绑定,解绑,验证等过程,永远只有一个绝对地址(rest.do),后端会根据参数渲染出来页面;(就是使用一个velocity,freemark就行,必须关注的问题如何通用,包括提示信息、样式等都能够接入方的要求能够更改);

   1.2)安全的继承性;现在假设一个场景,用户在发起一个绑定的显示请求之后,页面的操作,你是如何保证用户权限的呢?从数据权限和页面权限等;

   1.3)客户端与服务端交互的信息隐避性,同前端模板的可配置性开分离。

 集成性,为了保证信息平台的一致性,开放平台是基于rest风格的资源结构形式,换言之,就是通过URL来结构资源和信息的获取和展示方式。提供的服务资源就是寄主于开放平台的容器中,统一的认证安全,授权管理等。那像用户绑定功能,是不是意味着增加新的页面,一张JS,aspx页面?

2.1)url的问题,无法统一;URL结构规范永远只有一个。

2.2)页面认证的安全性等逻辑判断问题,是不是又要重写或者COPY。


    

网易和腾讯面试题精选---API 设计和开发面试问答
网易搬砖头
02-04 1364
无论您是经验丰富的 API 开发人员还是准备面试的候选人,掌握 API 设计的复杂性都是至关重要的。随着技术的不断进步,精心设计的 API 的重要性也在不断提高。HATEOAS(超媒体作为应用程序状态引擎)是 RESTful API 设计中的一个约束,其中服务器的响应包含超媒体链接,指导客户端执行可能的操作或转换到其他应用程序状态。API 应返回适当的HTTP 状态代码(例如,400 表示客户端错误,404 表示未找到,500 表示服务器错误),并在响应正文中包含详细的错误消息。
百度第三方登录
Luego的博客
03-11 5181
因为是个人在网上找的资料和视频学习的,如果有什么不对的地方,还请批评和指正 接下来就是百度第三方登录具体步骤: 进入百度开发者中心 如果有账号就可以直接登录,如果没有就注册一个,手机号就可以注册. 登录成功,右上方就可以出现一个,申请记录 点击进去 然后再点击进入百度云官网可能还会让你登录,那就再次登录,出现这个页面 输入应该输入的
苹果开发协议Edit Phone Number,开发者账号手机号没有绑定成功的同学注意啦!!!
Y&&G的专栏
04-24 3158
1.首先确保国家或地区为中国的情况下绑定手机号。2.如果按照网上各种流程没走通的,还出现红不拉几的背景,白不拉几的英文字母的同学注意啦3.不要删除手机号的情况下,将地区或国家改成美国,如果有付款方式的暂时先解绑,并设置付款方式为无,更改成功后回到开发者账号,刷新网页,这时候红不拉几的背景视图变小,文字内容发生了质的变化的时候,点击白不拉几的按钮,同意一下协议确定。至此还没解决的同学,愿苹果爸爸保...
开放API接口签名验证方式(开放平台+APP)
DDDDeng_的博客
07-22 2089
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA; 在stringA最后拼接上Se
使用passport管理第三方授权认证
GentlyCare的专栏
01-10 8405
passport是一个为Nodejs设计的,兼容Express的认证中间件。通过第三方插件的形式(以下称为strategy),可以应对各式各样的认证请求。passport具有高度的灵活性,并不依赖于任何一个路由,或者指定的数据存储,这样给上层开发者提供的极大的便利性。passport提供的接口也相对简单,只需要给它一个认证请求,passport会提供一个钩子函数(hook)告诉你请求失败了或者成功了
服务端和web端分离架构下使用 passport 进行前后台用户各自的认证
weixin_34409822的博客
11-29 554
服务端和web端分离架构下使用 passport 进行前后台用户各自的认证 前段时间(大概一年以前)写了个项目使用了前后端代码分离的架构,同时又因为业务需要出现了管理端和前台商户端两套用户表登陆的需求。 因为使用了 passport 包做登陆认证,但是passport又不支持多用户系统认证。所以那时候使用了一个中间表的方式去做认证,这种方...
【详细】使用 passport.js 来完成登录验证
weixin_33698043的博客
06-22 791
使用 passport.js 完成后台验证 转载自楼主个人博客 使用 passport.js 来完成登录验证 - 2016/6/22 先啰嗦一段背景 介绍一下项目所使用的技术栈。Node.js,使用 Express 来完成后端服务器的架构,这个时候就遇到了一个问题了。在我以前,是用 Java 来开发 Web 后端服务器,那时我采用 Spr...
laravel 都有哪些已可用的项目管理工具, 如路由、角色、 用户
08-02
- **内置路由系统**:支持 RESTful 风格路由、命名路由、中间件绑定等。 ```php // 示例:web.php 定义带中间件的路由 Route::get('/dashboard', [DashboardController::class, 'index']) ->middleware('auth');...
详解前端登录方式
公众号:前端充电宝
08-25 5010
1. Cookie + Session 登录 1.1 概述 1.2 实现流程 1.3 特点 2. Token 登录 2.1 概述 2.2 实现流程 2.3 特点 2.4 Token生成方式 3. SSO 单点登录 3.1 概述 3.2 登录实现流程 3.3 退出实现流程 3.4 特点 4. OAuth 第三方登录 4.1 概述 4.2 实现流程 4.3 OAuth2.0基本流程 5. 使用场景
百度ToB垂类账号权限平台的设计与实践
weixin_41888295的博客
04-28 965
一、前言 百度 ToB 垂类账号权限平台( 以下简称平台 ),是专注于为百度 ToB 垂类各产品线提供通用账号权限服务的基础平台,所提供的服务涵盖了租户管理、账号管理、单点登录、权限管控、账号安全、企业资质。业务方将账号、权限相关服务托管给平台后可以专注于自身的业务研发。目前已经接入了爱番番、爱采购、寻客宝、出海易一期产品线总计超过 1000万的企业账号,为各 ToB 垂类业务提供一站式账号与权限解决方案,以下是简化版的业务架构图: △平台业务架构 以下列出了必要的名词解释,便于更好地理解本文内容
API权限控制
热门推荐
jhkj_5154的博客
02-28 1万+
在API不存在用户登录这样的概念,我们是通过令牌来管理用户身份的。在传统网站用户登录的概念,转换成用户获取令牌,这个令牌,是代表用户身份的 。虽然都是类似用户输入账号密码的东西,但是理解和概念上时不一样的。API是用户拿到令牌,这个令牌具有用户的身份,而且这个身份是分级别的。有些级别是管理员级别,有些级别是普通用户级别。用户在每一次调用接口的时候,都需要携带他所获取的令牌,如果令牌合法,那我们认为...
开放平台openapi技术实现要点
11-01 4492
前言开放平台设计系列第一篇主要写了开放平台功能方面的设计,原计划写3篇,一篇介绍功能,一篇介绍架构,一篇介绍使用的技术。写了第一篇功能后,发现架构和技术可以合并写,这样看...
passport身份验证
qq_41947857的博客
02-26 1087
创建文件authoriry.js module.exports = { /** * 登陆权限验证 */ isAuthenticated: function (req, res, next) { if(req.isAuthenticated()) { console.log('权限验证通过') r...
openstack 权限管理
Lan Qi Song 的博客
10-17 9765
针对openstack kilo版本 几乎大部分跟用户相关的系统中都需要对用户相关的权限进行管理,当然也包括云平台系统。 比如:在Openstack中,只有具有管理员角色的用户才能管理aggregate,才能创建和更改flavor。普通租户只能查看和管理本租户内的虚拟机及相关资源等等, 这些都需要通过一套权限管理机制来实现。 社区的Openstack中对权限管理
后端接口权限验证
bleuesprit的专栏
01-08 1万+
接口验证有两种,一种是基于人的验证,比如需要调用者提供人员信息.第二种则是基于接口本身.接口本身的验证是因为很多调用者并不是一个人,可能仅仅是一个定时启动的脚本,无法采用用户名密码的形式来进行验证. 接口本身的验证基本方法就是在调用的时候在请求后方添加一个密钥,作为验证身份的令牌. # 基于简单密码 双方约定密码,密码正确验证通过 # 参数签名方式 步骤通常如下:
接口加密《二》: API权限设计总结
weixin_33932129的博客
04-13 444
来源:http://meiyitianabc.blog.163.com/blog/static/105022127201310562811897/ API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasd...
本人已经实现的使用OpenAPI的应用汇总
老紫竹的专栏
07-28 8206
 OpenAPI公开的最初就开始使用这个,主要是想方便一些操作。下面按照我自己的确认的重要度进行排序的应用。统计结贴率的机器人优快云之路的得分历史My优快云的论坛封装管理员自动结贴我的网站的会员注册功能下面逐个介绍一下机器人:  目前争议最大的一个,不过整体上还是支持的人占70%以上。毕竟可以把结贴率显示出来。系统主要是用Open里面的东西获取用户的基础信息,解析发
Loadrunner一些性能标志及配置参数
fenter的专栏
04-28 1093
()三个浏览器操作的不同http响应效果<br />Refresh-加载动态页面,将获取页面上的所有资源;(静态304)<br />Go-加载动态页面,仅获取head的所包括的资源,一般包括CSS,js等;(静态304,只返回信息头)<br />Ctrl+refresh,强制加载所有资源;(现以上两个差别就是http:304,200的区别)<br />如果是第一加载,即没有cache的话,那以上三种操作都是一样的效果,即ctrl-refresh。<br />问题如果css中出现一些图片的引用,那是如何加载
springdoc-openapi-security ,springdoc-openapi-ui的区别
最新发布
09-14
springdoc-openapi-security 和 springdoc-openapi-ui 是 SpringDoc OpenAPI 项目中两个不同的组件,它们的主要区别如下: ### 功能定位 - **springdoc-openapi-ui**:侧重于提供可视化的接口文档展示功能。在 Spring Boot 项目中,它能自动扫描控制器并生成 OpenAPI 文档,通常无需额外配置即可工作,还可通过自定义配置修改文档的标题、描述、版本等信息。例如,可通过创建配置类 `SpringDocConfig` 来自定义 OpenAPI 文档的信息,代码如下: ```java import io.swagger.v3.oas.models.OpenAPI; import io.swagger.v3.oas.models.info.Info; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class SpringDocConfig { @Bean public OpenAPI customOpenAPI() { return new OpenAPI() .info(new Info().title("XXXX管理系统接口文档") .description("This is a sample API documentation") .version("v1.0.0")); } } ``` 同时,还能在 `application.yaml` 中对 Swagger UI 的相关路径等进行配置,如设置 Swagger UI 的地址、OpenAPI 文档的路径等 [^1][^2]。 - **springdoc-openapi-security**:主要用于处理 API 文档的安全相关问题。它可以帮助开发者在生成的 OpenAPI 文档中集成安全方案,如 OAuth2、API Key 等认证和授权机制,确保只有经过授权的用户才能访问和查看 API 文档或调用相关接口。 ### 核心作用 - **springdoc-openapi-ui**:核心作用是将 API 接口信息以直观、易用的界面形式呈现给开发者、测试人员或其他相关人员,方便他们查看接口的详细信息,包括接口地址、请求参数、返回值等,提高开发和测试的效率。 - **springdoc-openapi-security**:核心作用是保障 API 文档和接口的安全性,防止未授权的访问和数据泄露,确保 API 资源的安全使用。 ### 使用场景 - **springdoc-openapi-ui**:适用于需要快速生成和查看 API 文档的场景,无论是开发阶段的内部调试,还是项目交付后的外部对接,都可以使用它来展示清晰的接口信息。 - **springdoc-openapi-security**:适用于对 API 接口有安全要求的场景,如企业内部的敏感数据接口、面向外部合作伙伴的付费接口等,需要对访问进行严格控制的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值