API接口安全性设计思路
在工作中经常遇见项目对接,那么该如何写一个安全的接口供给对方调用呢???
1.公共接口,任何人都可以访问调用
1.1.适合场景,公司后台整合广告管理,提供统一的接口返回给公司其他项目调用和邮件模板调用,这时候需要设计一个统一的接口,返回广告的内容。还有天气查询等场景。
@PostMapping("/syncInfo") public Result syncInfo(@RequestParam(name = "data")String data){ if(!StringUtils.isNotBlank(data)){ return new Result("失败!",false,HttpCode.STATUS_104); } InfoVo infoVo = JSONObject.parseObject(data,InfoVo.class); dealInfo(infoVo); return new Result("成功!",true, HttpCode.STATUS_200); }
2.接口参数加密
2.1.适合场景,公司内部两个项目组进行对接,为了防止接口被暴露和伪造访问,这个时候需要对参数进行加密处理,防止接口被其他外部人员调用,一般采用desc或者aes对称加密,约定好秘钥进行对接。
@PostMapping("/syncInfo") public Result syncInfo(@RequestParam(name = "data")String data){ try { if(!StringUtils.isNotBlank(data)){ return new Result("失败!",false,HttpCode.STATUS_104); } DES des = new DES("秘钥".getBytes()); String j = des.decryptStr(data); logger.debug("解码前:" + data); logger.debug("解码后:" + j); InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class); dealInfo(infoVo); return new Result("成功!",true, HttpCode.STATUS_200); }catch (Exception e){ e.printStackTrace(); if(!StringUtils.isNotBlank(data)){ return new Result("系统错误!",false,HttpCode.STATUS_105); } } }
3.接口时效性加密+接口参数加密
3.1.适合场景,内部接口加密过的数据链接被暴露,不断有相同数据对接口进行访问,这个适合需要对接口加入时间戳参数,设计失效时间解决这个问题。
@PostMapping("/syncInfo") public Result syncInfo(@RequestParam(name = "data")String data){ try { if(!StringUtils.isNotBlank(data)){ return new Result("失败!",false,HttpCode.STATUS_104); } DES des = new DES("秘钥".getBytes()); String j = des.decryptStr(data); logger.debug("解码前:" + data); logger.debug("解码后:" + j); InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class); if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){ return new Result("接口失效!",false,HttpCode.STATUS_100); } dealInfo(infoVo); return new Result("成功!",true, HttpCode.STATUS_200); }catch (Exception e){ e.printStackTrace(); if(!StringUtils.isNotBlank(data)){ return new Result("系统错误!",false,HttpCode.STATUS_105); } } }
4.接口时效性+接口参数加密+不同来源的私钥
4.1适合场景, 当接口秘钥被泄露时,我们可以对不同的数据来源设置不同的私钥,这样即使接口秘钥被泄露,没有私钥,依然不能对接口进行操作,而且可以记录是哪个项目的秘钥被泄露,快速定位出问题的来源,且不会影响其他项目调用。
@PostMapping("/syncInfo") public Result syncInfo(@RequestParam(name = "data")String data){ try { if(!StringUtils.isNotBlank(data)){ return new Result("失败!",false,HttpCode.STATUS_104); } DES des = new DES("基础秘钥".getBytes()); String j = des.decryptStr(data); logger.debug("解码前:" + data); logger.debug("解码后:" + j); InfoVo infoVo = JSONObject.parseObject(j,InfoVo.class); if(AddSecondes(infoVo.getTime(),20) < new Date().getTime()){ return new Result("接口失效!",false,HttpCode.STATUS_100); } String sign = getSignByFrom(Info.getFrom()); logger.debug("来源秘钥"+sign); String k = des.decryptStr(Info.getData); dealInfo(k); return new Result("成功!",true, HttpCode.STATUS_200); }catch (Exception e){ e.printStackTrace(); if(!StringUtils.isNotBlank(data)){ return new Result("系统错误!",false,HttpCode.STATUS_105); } } }
相关推荐
dxbjfu0 2020-07-26
zhjn0 2020-11-24
夜斗不是神 2020-11-17
学习web前端 2020-11-09
waiwaiLILI 2020-11-03
raidtest 2020-10-09
myccc 2020-09-24
jzlixiao 2020-09-15
guicaizhou 2020-09-15
digwtx 2020-09-14
大秦铁骑 2020-08-19
thatway 2020-08-19
lovecodeblog 2020-08-19
codetyper 2020-08-16
comwayLi 2020-08-16
MongoDB数据库 2020-08-16
cjsyrwt 2020-08-14
Tristahong 2020-08-05
csuzxm000 2020-08-02