内部接口如何保证安全性
如果人家知道了你接口的url跟参数,host, 那么内部http接口也就可以直接被调用了, 那么内部接口 的安全性如何做呢, 虽然这个也不容易知道
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
如果人家知道了你接口的url跟参数,host, 那么内部http接口也就可以直接被调用了, 那么内部接口 的安全性如何做呢, 虽然这个也不容易知道
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(3)
几个层面:
1、不开放。内部接口只对内部网络开放,只有同一个子网下才可以调用,从源头上确保访问者可信。
2、如果因某些原因必须开放,那么如果请求来源可控,可以通过设置白名单的方式来确保安全。
3、如果因某些原因请求来源不可控,无法设置白名单,可以约定一套接口认证机制,比如每个请求携带一个密码,或者JWT之类的认证方案。
4、即使约定了认证机制,在中间传输环节仍可能被篡改,这时可以启用 SSL,并辅以请求签名机制。
上述所有方案可以结合在一起使用。
这个可以配置服务区的安全组,也可以在后端配置host来源
这种东西完全可以用权限校验做啊。
既然你都提到安全性了,那么想必你们也会有
token或者类似的东西。如果不在源头拦截,那么就在进入接口的时候,先验证
token的权限,没权限直接打回