hyrylt的博客

原文链接

关于 API 安全的问题，主要就是以下几个问题一、身份鉴定。这个可以使用 Oauth 2.0 规范，或者带有不对称密钥加密的 token，选择 JWT 等形式，配合身份鉴定系统来保证。二、内容防篡改。可以使用数字签名算法来进行哈希校验，强制 HTTPS 通信。最新的系统可以考虑 http/2。三、DDoS 攻击。通过设置防火墙，控制 API 调用频率，例如协议的 rate-limit 等设置来进行沟通和控制。四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手，主流框架都有基本的防

接口签名安全验证背景在做一些api接口设计时候会遇到设置权限问题，比如我这个接口只有指定的用户才能访问。很多时候api接口是属于无状态的，没办法获取session，就不能够用登录的机制去验证，那么大概的思路是在请求包带上我们自己构造好的签名，这个签名必须满足下面几点：a、唯一性，签名是唯一的，可验证目标用户b、可变性，每次携带的签名必须是变化的c、时效性，具有一定的时效，过期作废d、完整性，能够对数据包进行验证，防止篡改演示代码<?php// 设置一个公钥(key)和私钥(se