api接口安全方面的几个建议

api接口安全方面的几个建议

一、api接口设计原则

1、轻量级

2、适合于异构系统（跨操作系统、多语言简易实现）

3、易于开发

4、易于测试

5、易于部署

6、满足接口安全需求。

二、api接口安全要求

1、防伪装攻击（案例：在公共网络环境中，第三方 有意或恶意 的调用我们的接口）

2、防篡改攻击（案例：在公共网络环境中，请求头/查询字符串/内容 在传输过程被修改）

3、防重放攻击（案例：在公共网络环境中，请求被截获，稍后被重放或多次重放）

4、防数据信息泄漏（案例：截获用户登录请求，截获到账号、密码等）

三、api接口的几个建议

例如：http://www.studyofnet.com/?param1=学习也休闲&A=aaa&Z=zzz&_appid=club&_timestamp=12345678&a=AAA&z=ZZZ&_sign=8B0E081689789CF66490E65BB8E1B0E7

1、接口调用方和接口提供方约定好统一的参数加密算法

2、接口调用方在调用时把加密后的_sign放在参数中去请求接口

3、接口提供方接到响应后，判断时间戳是不是在有效时间内（这个时间间隔根据你的安全范围可以是10分钟，5分钟，20秒等，过期失效，前提是需要保证接口提供方和调用方的服务器时间为准确的网络同步时间）

4、把参数中除了_sign以外的参数进行加密，然后把加密结果和传过来的_sign比较，相同则执行调用请求。