本文探讨了基于HTTP方法的RESTful API设计原则,包括创建、查询、更新和删除资源的状态转换过程。同时,深入讨论了接口安全保障措施,如HTTPS加密、非对称加密、MD5签名验证及防御网络攻击策略。
基于资源resouce的 representationl state transfer
基于http method
状态转换:创建(无-有)----->post,创建资源
查询(无改变) -----> get,单个详情,多个(列表)
更新(改变前-改变后)----> put,修改-------多属性body{json}
patch,修改------单属性
删除(有-无)---->delete
其他方法option,head基本不用
举例:详情xxxxx/${id}
列表xxxxx/?条件1=某某某&条件2=某某某&pagenum=num&pagesize=size&sortrule=字段字段规则
接口保障原则,保密性condentiality(加密脱敏),完整性Integrety(不被篡改),可用性avaliable,防止黑客攻击
https,非对称加密+对称加密, sign签名 封屏蔽黑客IP,过期时间,redis黑名单
安全,接口安全
非破坏性,DDOS流量攻击,不破坏程序应用部分
破坏性,木马病毒
接口调用网络传输过程中------>防止窃听盗取,加密
对称加密,非对称加密
密码,不可逆
用户信息,姓名高**,身份证号,11********122可逆
网络黑攻击
封IP
用户授权,token,超时时间方式
黑名单方式,md5(请求),设置较短expire过期时间,再极短时间重复请求的视为黑客攻击请求
软件没有银弹,性能和安全之间选择
https
非对称加密-->对称加密(同一密钥)
des(name=value&xxxx=xxxx&密钥)=密文
sign
name=value1&xxxx=xxxx&sign=md5(name=value1&xxxx=xxxx)
客户端sign签名,服务端验证签名
黑名单,sign(用户标识)-->redis服务器,expire key value,相同sign,不通过
错杀
Assssssssss-->相同md5
Bssssssssss-->相同md5
md5-->sha1
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
