各位大神,jfinal开发的web系统,其中部分http的接口,怎么设计安全特性,很重要的接口
https +token +签名 之类的
1. 身份验证阶段,你可以用非对称加密算法来确保token的安全
2.数据传输阶段,可以用token + 对称算法 + https 来确保数据的安全
回复:@poorfish a
同意
请求签名/验签 签名是指什么
1.如果是系统间调用(如:webservice), 可以使用加密方式, 服务端给个密钥, 你用这个密钥加密数据然后,附上客户端标识提交给服务器. 服务器通过明文的客户端标识找到你的密钥进行解密, 然后获取数据.(多渠道的情况, 如果是单渠道, 客户端标识都可以不用)
2.http页面调用, 可以参考JFinal, 使用https之类.
回复@554330833a : 参数通过加密算法得到的一个字符串。。
授权token+请求签名/验签+https
@54mark 这个跟授权token 好像没什么区别吧?
客户端关键数据加密,每次调用根据参数、时间戳签名,服务器验签,access token什么的,本质上都是用于签名、验签的
jessionId 与使用了 httponly 后的 cookie 安全性几乎是相同的,通道不安全,无论是 jessionId 还是 cookie 都能被监听
谢谢
走https,然后对接口访问进行授权 ,再添加token的有效性检查 。
加密算法推荐
回复@tianxia007 : 同求,好的加密方案
回复客户端在登录成功时,服务端创建一个 access_token,并以这个 access_token 值为 key,以用户信息为 value,存放在缓存中: cache.put(accessToken, userAccount),用户每次请求过来时,只需要通过 cache.get(accessToken) 取,就知道用户身份了
回复传输中这个token怎么加密校验 波总
回复通道走的 https,本身就是被加密过的,不需要自己处理
回复系统都是层次性的,加密也是在单独的 https 层,业务层就只管业务
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(20)
https +token +签名 之类的
1. 身份验证阶段,你可以用非对称加密算法来确保token的安全
2.数据传输阶段,可以用token + 对称算法 + https 来确保数据的安全
回复:
@poorfish a
同意
请求签名/验签 签名是指什么
1.如果是系统间调用(如:webservice), 可以使用加密方式, 服务端给个密钥, 你用这个密钥加密数据然后,附上客户端标识提交给服务器. 服务器通过明文的客户端标识找到你的密钥进行解密, 然后获取数据.(多渠道的情况, 如果是单渠道, 客户端标识都可以不用)
2.http页面调用, 可以参考JFinal, 使用https之类.
回复
@554330833a : 参数通过加密算法得到的一个字符串。。
授权token+请求签名/验签+https
@54mark 这个跟授权token 好像没什么区别吧?
客户端关键数据加密,每次调用根据参数、时间戳签名,服务器验签,access token什么的,本质上都是用于签名、验签的
jessionId 与使用了 httponly 后的 cookie 安全性几乎是相同的,通道不安全,无论是 jessionId 还是 cookie 都能被监听
谢谢
走https,然后对接口访问进行授权 ,再添加token的有效性检查 。
加密算法推荐
回复
@tianxia007 : 同求,好的加密方案
谢谢
回复
客户端在登录成功时,服务端创建一个 access_token,并以这个 access_token 值为 key,以用户信息为 value,存放在缓存中: cache.put(accessToken, userAccount),用户每次请求过来时,只需要通过 cache.get(accessToken) 取,就知道用户身份了
回复
传输中这个token怎么加密校验 波总
回复
通道走的 https,本身就是被加密过的,不需要自己处理
回复
系统都是层次性的,加密也是在单独的 https 层,业务层就只管业务