web开发,如何保证api接口的安全?

选择拦截过滤器

在请求的候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证请求不是非法请求

数据加密

目前大部分APP接口都是通过http协议进行调用的,容易被抓包拦截,可以对客户端和服务端都对数据传输的时候进行加密处理,常用的MD5 AES等。

token授权机制

用户使用用户名密码登录后服务器给客户端返回一个token(通常是uuid),并将token-user一键值对的形式存放在缓存服务器中。
服务端接收到请求后进行验证,如果token不存在说明请求无效,token是客户端访问服务端的凭证

签名机制

将token和时间戳加上其他请求参数在用MD5或其他算法加密,加密后数据就是本次请求签名sign,服务端接收到请求后以同样的算法得到签名,
并根当前的签名进行比对,如果不一样,说明参数被改过,直接返回错误表示,签名机制保证了数据不会被篡改。

你可能感兴趣的:(web开发,如何保证api接口的安全?)