初级web api的设计(一)

最新推荐文章于 2024-03-06 11:38:58 发布
原创 最新推荐文章于 2024-03-06 11:38:58 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#api #web api #设计

本文探讨了API设计中的身份认证问题,重点介绍了基于对称与非对称加密算法的签名方法,以及在实际应用中如何优化签名过程以减轻服务器负担。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Api是服务中重要的组成,可以为大客户提供更好、更便捷、更加实时的服务。大型的服务提供商,例如云存储服务、视频服务,他们大多都提供了设计复杂,功能全面的RESTfull API [http://www.ruanyifeng.com/blog/2011/09/restful.html],这是当前较为理想化的API设计。但是对于小型服务网站,没有必要嵌入如此复杂的API。可以用一些初级的Web api设计即可。

通常认为Api的设计有一下几点需要考虑的,本文首先讨论一下第一个问题。

  1. API 中的身份认证。

  2. API中的安全事项。

身份认证。在密码学中,身份认证是指,确认给你发消息的人就是他声称的那个人。例如,如果你跟Alice通信,身份认证是指你需要确认,与你通信的人就是真正的Alice 。

身份认证主要通过签名算法来实现,签名算法可以分为基于对称加密算法的签名和基于非对称加密算法的签名。其核心都在于,被验证着(本文中假如是Alice )通过间接证明她拥有某种Alice 专有的信息来自证是Alice 本人。

  • 非对称加密算法用于签名

在非对称加密算法中,Alice用自己的私钥加密Bob要求的字符串,然后发送,Bob使用Alice的公钥解密,如果得到预定的字符串,则证明了发送方拥有Alice的私钥,即对方就是Alice。

签名:
sign = enc(Alice.pri, msg)
验证
msg = dec(Alice.pub,sign)

常见的可用于身份验证的非对称加密算法主要有RSA, DSA 等。

彩带:数字货币中使用了椭圆曲线算法进行签名,比特币使用了ecdsa加密算法用于签名。

  • 对称加密算法用于签名

与非对称加密算法用于签名同理,在利用对称加密算法签名时,也需要证明Alice拥有某种可验证的专有信息。那么,可以有多种实现方式,通常的原理是,Alice预先与Bob达成一个共享秘钥(key),这个key只有Alice和Bob两人知道,那么Alice通过用key加密Bob要求的信息,Bob再收到信息后,解密验证即可。

签名
cipher = enc(key, msg)
验证
msg = dec(key, cipher)
  • 实际运用

在通常的实际运用总,我们使用对称加密算法进行签名、验证身份。原因如下:
1. 非对称加密算法复杂度远大于对称加密算法,使用非对称加密算法,服务器压力过大。
2. 方便进行秘钥管理。

优化

通常也不进行真正的加密操作,而采用了将秘钥附加在发送信息之后,取哈希值得方法得到。

即:

sign = md5( msg + secret_key)

这样,服务器在接收得到信息之后,再进行一次计算sign的操作,对比自己计算出来的sign与收到的sign是否一致,一致则验证正确,反之则不正确。

这样做得好处在于,最大程度减轻了服务器计算代价,并且保持了对身份的验证效果。

  • 代码示例

通常而言,对于http api,将请求的各个参数构造成http请求字符串,然后再末尾加上key=$secret_key, 然后对整个串进行MD5计算,得到的值为sign,作为一个请求变量一起发送给服务器。

其中,为了保证服务器能够正确严重,需要对请求字段按照key的字典序进行排序,因为不同的顺序会导致签名不同。

下面给出了 推送号 api接口中的签名计算函数

-PHP sdk中的签名

    /**
     * 生成签名
     * @return 签名,本函数不覆盖sign成员变量,如要设置签名需要调用SetSign方法赋值
     */
    public function MakeSign($param, $key='')
    {
        //签名步骤一:按字典序排序参数
        ksort($param);
        $string = $this->ToUrlParams($param);
        //签名步骤二:在string后加入KEY
        $string = $string . "&key=".$key;
        //签名步骤三:MD5加密
        $string = md5($string);
        //签名步骤四:所有字符转为大写
        $result = strtoupper($string);
        return $result;
    }

    /** 
     * 格式化参数格式化成url参数
     */
    public function ToUrlParams($param)
    {   
        $buff = ""; 
        foreach ($param as $k => $v) 
        {   
            if($k != "sign" && $v != "" && !is_array($v)){
                $buff .= $k . "=" . $v . "&";
            }   
        }   

        $buff = trim($buff, "&");
        return $buff;
    }

-Java sdk中的签名

    /**
     * 生成签名信息
     * @param secretKey 产品私钥
     * @param params 接口请求参数名和参数值map,不包括signature参数名
     * @return
     * @throws UnsupportedEncodingException
     */
    public static String genSignature(String secretKey, Map<String, String> params) throws UnsupportedEncodingException {
        String paramBuffer = buildHttpRequest(params);
        paramBuffer += "&key="+secretKey;
        // MD5是128位长度的摘要算法,用16进制表示,一个十六进制的字符能表示4个位,所以签名后的字符串长度固定为32个十六进制字符。
        // 转为全部大写字母
        return DigestUtils.md5Hex(paramBuffer.getBytes("UTF-8")).toUpperCase();
    }

     /**
     * 将参数拼接称为url参数类型
     * @param params key val
     * @return
     */

    public static String buildHttpRequest(Map<String,String> params){
        String res = "";
        if (params == null) {
            return res;
        }else{
            String[] keys = params.keySet().toArray(new String[0]);
            Arrays.sort(keys);
            for(int i = 0;i<keys.length;) {
                res += keys[i]+"="+params.get(keys[i]);
                if(++i < keys.length){
                    res += "&";
                }
            }
            return res;
        }
    }
web项目API接口设计与开发总结
dengyilang123的博客
08-31 7115
当前公司自主开发的个AI图片识别项目,需要对外开放提供接口,领导二话没说把这个任务交给我来做,算是对我的次考验。虽然以前自己没有设计过接口,但是调用过别人写的接口,如百度提供的接口,还有以前在项目中调用别人的接口等等。感觉调用别人的接口还挺方便的,自己来设计的时候,真不知道如何下手。然后去查看学习各种教程,开始进行接口的设计与开发工作。 设计原则 鉴于目前的网...
创建 初级Web API 项目
最新发布
weixin_72254790的博客
07-23 661
Models文件夹存放Models 文件夹放置的是结构化对象——模型,比如返回的json结构化对象,是通过models定义的模型读取序列化格式,它就可以反序列化对象。大多数客户端可以分析 XML 或 JSON。Controllers 文件夹。
七步法:Web API设计方法论
z69183787的专栏
01-15 1892
Web设计、实现和维护API不仅仅是项挑战;对很多公司来说,这是项势在必行的任务。本系列 将带领读者走过段旅程,从为API确定业务用例到设计方法论,解决实现难题,并从长远的角度看待在Web上维护公共API。沿途将会有对有影响力的人物的访谈,甚至还有API及相关主题的推荐阅读清单。 这篇 InfoQ文章是 Web API从开始到结束系列文章中的篇,后续我们将继续为您带来文
Web API设计与开发》读书笔记
素履独行 | 元培的个人博客
07-14 2209
设计优美的Web API: 易于使用、便于更改、健壮性好、不怕公开 REST的两层含义: 指符合Fielding的REST架构风格的Web服务系统 指使用符合RPC风格的XML或JSON + HTTP接口的系统(不使用SOAP) 端点的基本设计: 短小便于输入的URI- 人可以读懂的URI 没有大小写混用的URI 修改方便的URI 不暴露服务端架构的URI 规则统的URI HTTP方法和...
05 | 权衡的艺术:漫谈Web API设计
qq_37756660的博客
03-06 937
在上面这三步通用和共性的步骤完成之后,我们就可以正式跳进具体的接口定义中,去确定 URL、参数、返回和异常等通用而具体的形式了。还记得上讲中对 REST 请求发送要点的分解吗?在它的基础上,我们将继续以 REST 风格为例,进行更深刻的讨论。1. 条件查询/books/123分别查询了 ID 为 123 的图书的全部属性,和该图书的价格信息。/books?你看条件查询书籍,查询条件通过参数传入,指定了作者,要求显示第二页,每页大小为 10 条记录,按照书名降序排列。
关于API:好的设计和坏的设计【eolink翻译】
API
04-06 373
以前开发或更新 API 时,我们经常需要深入讨论对 API 的结构、命名和功能等,这个花费了大量的时间。 随着 API 行业的蓬勃发展,API 设计也越来越重要。这么多年发展下来,些如REST API之类的规则也受到大多数人认可,这些规则可以应用于开发流程中,帮助团队快速达成共识,达到提效的目的。 接下来会介绍 API 设计的原理和规则。而在本文中,我们将专注于 Web API。 先用句话来解释下,API 是 Application(应用程序)、Programming(编程)和 Interface(.
WebApi入门到精通视频课程.txt打包整理.zip
03-05
描述部分与标题相同,"WebApi入门到精通视频课程.txt打包整理.zip",这表明这个压缩文件是个完整的WebApi学习资料集合,其中包含的视频课程可能覆盖了从初级到高级的所有主题,而.txt文件可能是配套的文字材料,如...
初级web api设计(二)——防重放攻击
Archmage的专栏
12-03 5397
在针对数据系统的攻击中,重放攻击是最常见的攻击方式,API设计中需要特别考虑设计好如何防范重放攻击。 重放攻击(Replay Attacks)指攻击者发送个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击。防重放攻击中,最重要的手段是给消息打上个唯、不可以重新生成的编号,保证这个编号只能使用次。、利用timestamp。在参数中加入timest
web初级项目
09-22
本项目名为"Web初级项目",主要是个超市管理系统,它涵盖了从数据库设计、后端开发到前端交互的全过程,旨在帮助学习者掌握基础的Web开发技能。 1. 数据库设计:在系统设计初期,首先需要考虑的是数据存储。在这...
web前端开发教材初级源代码.rar
12-11
这份"web前端开发教材初级源代码.rar"压缩包提供了初级学习资源,旨在帮助初学者掌握基本的前端开发技能。下面我们将深入探讨这些模块及其在实际开发中的应用。 01. HTML基础 HTML(HyperText Markup Language...
ASP.NET+Web+API设计(美)布洛克著
10-19
ASP.NET WEB API 设计(美) 布洛克著,带完整书签,学习Web API很好的参考书籍
学习.net web api开发的好例子
02-02
学习.net web api开发的好例子,采用的是.net环境下的web mvc开发简单的api,典型的MVC架构,适合初学者
Java Web开发最全帮助文档API
09-12
Java web 开发中可能会用到的API,包括JDK中文参考手册、J2EE、JavaScript、MyBatis中文版、HTML/HTML5、CSS 2.0/3.0、jQuery 1.3-1.10(若干)
Linux2.6源码包第二部分
12-17
linux 2.6最广为人知的代码
签名软件 刷机必备
04-18
签名
Web APIs案例小合集
chnnds的博客
12-09 1183
文章目录 前言 、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 、pandas是什么? 示例:pandas 是基于NumPy 的种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings ...
ASP.NET Web API设计pdf
weixin_30790841的博客
08-17 646
下载地址:网盘下载 如何为浏览器和移动设备等多客户端设计和构建可演化Web API?本书以ASP.NET Web API框架为例,系统介绍了相关的理论和工具,让读者全面掌握设计和实现可演化Web API的技术。本书主要面向有经验的.NET开发人员。不过,书中关于Web API基础理论和设计的内容同样适用于Java、Ruby、PHP和Node等开发者。深入...
Web API规范设计指引
心流汇聚之地
12-25 6002
关于RESTful 应认真考虑要不要使用RESTful规范,不要盲目跟风。它的缺点在小公司里特别明显: 高度抽象,需要定的设计能力。初级程序员很容易破坏整体设计,这不可能都被Review到。接口使用者也未必能做好反馈 需要对HTTP协议有定的理解 般越好的设计就有越多的约束,也可能有越高复杂度,因此交接工作的学习成本高 产品迭代很快时,接口可能变动很频繁导致版本升级也很快,各种为了好设计而...
Web API接口设计经验总结
weixin_34396902的博客
09-29 958
Web API接口的开发过程中,我们可能会碰到各种各样的问题,我在前面两篇随笔《Web API应用架构在Winform混合框架中的应用(1)》、《Web API应用架构在Winform混合框架中的应用(2)--自定义异常结果的处理》也进行了总的介绍,在经过我的大量模块实践并成功运行后,总结了这篇随笔,希望对大家有所帮助。 1、在接口定义中确定MVC的GET或者POST方式 由于我们整个Web...
Visual Studio 2017下创建Swagger集成的Web API教程
在Visual Studio 2017中创建Web API并整合Swagger涉及到系列的步骤和技术知识。首先,我们需要理解Web API和Swagger的基本概念及其重要性,然后将这些概念应用在Visual Studio 2017开发环境中。以下详细解释了相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值