大橙子网站建设,新征程启航

为企业提供网站建设、域名注册、服务器等服务

php数据接口api安全 php 数据接口

08.如何保证API接口的安全性问题01

1.互联网Api接口到底如何保证安全性问题?

创新新互联,凭借10余年的网站设计、成都网站制作经验,本着真心·诚心服务的企业理念服务于成都中小企业设计网站有近千家案例。做网站建设,选创新互联。

2.代码落地实战防御XSS、CSRF攻击

3.代码落地如何防御接口数据被黑客抓包篡改?

4.接口数据加密对称还是非对称加密好

XSS攻击通常指的是通过利用 网页 开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括 Java 、 VBScript 、 ActiveX 、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]

脚本攻击:利用JavaScript 注入 到后台数据库中,在通过展示数据加载该脚本 该脚本中(

1.使用js获取cookie信息(jwt)

2.将该jwt数据 上传黑客服务器(ajax)

获取jwt---用户会话信息 让后模拟请求形式使用该jwt登录。

xss攻击典型网站:论坛、评论区

前端传递 js 脚本到服务器端

后端接口将该脚本存放数据库中

前端html

将用户前端所提交的参数进行过滤。

html 大于 小于号

该方式的缺陷:每个参数都需要像这样写 代码非常冗余

接口接受参数 ?传递参数形式---

传递参数都是json数据形式

spring mvc 接受 json数据提供 api回调

1.可以使用第三方抓包工具,对请求前后实现代理,可以修改参数请求内容和参数响应内容,抓包工具http调试工具

2.Fiddler4下载地址:

使用Fiddler4篡改请求之前:

使用MD5可以直接验证签名参数 MD5 属于单向加密,只能够暴力破解。

MD5应用场景 在nacos分布式配置中心中,使用MD5 比对文件内容是否发生改变

HasherPro比对文件内容是否发生改变。

MD5在线暴力破解地址:

String userName= "123456" ;

System. out .println( DigestUtils. md5Hex (userName));

黑客如何破解?自己需要根据参数内容 生成签名

如果只是改了参数内容---没有用的 所以我们需要该签名

{"password":"123456","phoneNumber":"phoneNumber","channel":"安卓","equipment":""}

{sign=325ab041d4889825a46d1e1e802ab5de, timestamp=1652537015771}

用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

一般的处理是 访问链接url是这样子的 这样的形式

然后后面get方式加上参数?hash= md5(url.time()) url和时间戳或者一个时间格式拼接起来,md5加密一下,传到服务器,服务器判断是这样形式就可以的

你开放的API接口真的安全吗

你开放的接口真的就很安全吗,看看有没有做到如下几点

1.请求身份验证

2.请求参数校验

3.请求是否唯一

4.请求次数限制

请求身份验证

基于 AccessKey:为接口调用放分配AccessKey和SecretKey(不参与传输,只用于本地接口加密,不能泄露)

基于token身份验证:

1.用户登录提供认证信息(如:账号密码)服务器验证成功后将用户信息保存到token内并设置有效期,再返回token给调用方

2.调用方保存token,并在有效期内重新换取token,保证token是有效的

3.服务器验证token有效性,无效则拦截请求返回错误信息,反之则从token内获取用户信息进行后续操作

请求参数校验

1.校验参数合理性(如:参数类型,参数长度,参数值校验)

2.防止XSS,SQL注入(解决方案:过滤敏感字符或直接返回错误信息)

3.校验参数可靠性是否被篡改(可以将参数以特定格式排列+秘钥组成字符串,在进行MD5或SHA签名)

请求是否唯一

前面第3点解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患

timestamp+nonce方案

nonce指唯一的随机字符串 ,用来标识每个被签名的请求。通过为每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用(记录所有用过的nonce以阻止它们被二次使用)。

然而,对服务器来说永久存储所有接收到的nonce的代价是非常大的。可以使用timestamp来优化nonce的存储 。

假设允许客户端和服务端最多能存在15分钟的时间差,同时追踪记录在服务端的nonce集合。当有新的请求进入时,首先检查携带的timestamp是否在15分钟内,如超出时间范围,则拒绝,然后查询携带的nonce,如存在已有集合,则拒绝。否则,记录该nonce,并删除集合内时间戳大于15分钟的nonce(可以使用redis的expire,新增nonce的同时设置它的超时失效时间为15分钟)。

请求次数限制

某些资源我们需要限制用户的请求次数,同时也为了防止非人为操作可能导致系统的崩溃

实现思路如下:

假如我们允许用户每秒钟最多10次请求,超过10次则返回“手速太快了,慢点把。。”

这里我们使用redis辅助我们实现:

以用户IP为key,请求次数为value,有效时间为1秒

用户在每秒的第一次访问的时候,此时我们的redis是没有key为用户ip的数据的(因为失效了,或者第一次请求)所以我们要初始化当前请求用户的ip为keyvalue为0到redis数据库

当用户在1s内再次发起请求我们就将此ip的请求次数+1,并判断请求次数是否已近=10

=10则返回给用户手速太快了!请稍后重试..否则继续执行后续操作

具体实现代码如下:

如有疑问可在下方留言,我会尽快答复,或者关注公众号 程序员MuziDong 随时了解新的动态


网站名称:php数据接口api安全 php 数据接口
本文地址:http://dzwzjz.com/article/dddjhhe.html
在线咨询
服务热线
服务热线:028-86922220
TOP