如何保证api接口的安全(REST接口)?
我们在开发REST接口的时候,如何保证接口不被非法访问?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
我们在开发REST接口的时候,如何保证接口不被非法访问?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(7)
多数采用OAuth2,不过对于盗cookie没招,走HTTPS吧
api进行token校验或者签名,另外对于防刷,要进行限流
后台可以用token或session进行身份校验,session更严格一些会有超时时间;如果不需要登录,只是验证身份,可以利用生成token(可以根据姓名等信息再加上时间戳)并返回,请求接口时每次携带该token,并且设置机制,如果请求token过期了,需要请求方重新获取有效token再次请求该接口;
1.对IP进行过滤,频繁访问的进行限制。
2.使用token令牌进行验证,通过后进行业务逻辑。
3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
签名鉴权
ip限流
使用token令牌授权,控制ip访问频率
题主要看你如何定义接口安全了,我们可以看看新浪微博,每天无数的爬虫在爬,他的接口安全么?一般意义上安全指的是传输过程中不被盗取,走https基本可以做到,至于有人拿到api文档一类的东西(app被反向),那怎么样也防不了
所以如同楼上
1.对IP进行过滤,频繁访问的进行限制。
2.使用token令牌进行验证,通过后进行业务逻辑。
3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
没有绝对的安全,题主可以看看微信开发者文档,看看他们的接口是怎么设计的