Api接口簽名設(shè)計(jì)

Api接口簽名設(shè)計(jì)

一、前言

? 傳統(tǒng)的接口是開(kāi)放的,但是容易被不法分子利用。由此對(duì)接口簽名設(shè)計(jì)的背景就是維護(hù)接口的安全性

二、設(shè)計(jì)原則

  • 請(qǐng)求唯一性
  • 請(qǐng)求時(shí)效性
  • 請(qǐng)求可審計(jì)性

三、簽名規(guī)則

  • 鑒權(quán)中心統(tǒng)一為調(diào)用方發(fā)放clientIdclientSecret(也可以是appIdappSecret
  • 需要生成時(shí)間戳timestamp(可以限制時(shí)效性)
  • 需要生成流水號(hào)nonce(流水號(hào),可用后期安全審計(jì))
  • 需要生成signature(由clientId、clientSecret、timestamp、nonce混合加密,加密方法可自定)

四、請(qǐng)求規(guī)則

  • 調(diào)用方維護(hù)好clientIdclientSecret
  • 生成timestampnonce
  • clientIdclientSecret、timestamp、nonce加密生成signature
  • clientId、timestamp、noncesignature放在請(qǐng)求頭部
  • 鑒權(quán)中心根據(jù)當(dāng)前時(shí)間戳與timestamp做比較,看是否過(guò)期
  • 鑒權(quán)中心收到clientId之后,查詢(xún)出clientSecret,加上傳遞過(guò)來(lái)的timestampnonce,用同樣的加密方法加密,獲得的加密結(jié)果和signature對(duì)比,如果相同就表示成功
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容