数据安全 如何保证外网开放接口的安全性

日更 第6篇: 如何保证外网开放接口的安全性

这算一个总的概述,抽空对每个详细写一下。


[TOC]

转载地址:https://blog.csdn.net/zhou920786312/article/details/95536556

如何保证外网开放接口的安全性

  1. 使用加签名方式,防止数据篡改
  2. 信息加密与密钥管理
  3. 搭建OAuth2.0认证授权
  4. 使用令牌方式
  5. 搭建网关实现黑名单和白名单

一. 令牌方式搭建搭建API开放平台

数据安全 如何保证外网开放接口的安全性_第1张图片
20190711234839811

方案设计:

  1. 第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉
  2. 第三方机构请求数据需要加上accessToken参数,每次业务处理中心执行业务前,先去dba持久层查看accessToken是否存在(可以把accessToken放到redis中,这样有个过期时间的效果),存在就说明这个机构是合法,无需要登录就可以请求业务数据。不存在说明这个机构是非法的,不返回业务数据。
  3. 好处:无状态设计,每次请求保证都是在我们持久层保存的机构的请求,如果有人盗用我们accessToken,可以重新申请一个新的taken.

二. 基于OAuth2.0协议方式

原理

第三方授权,原理和1的令牌方式一样

  1. 假设我是服务提供者A,我有开发接口,外部机构B请求A的接口必须申请自己的appid(B机构id)
  2. 当B要调用A接口查某个用户信息的时候,需要对应用户授权,告诉A,我愿同意把我的信息告诉B,A生产一个授权token给B。
  3. B使用token获取某个用户的信息。

联合微信登录总体处理流程

  1. 用户同意授权,获取code
  2. 通过code换取网页授权access_token
  3. 通过access_token获取用户openId
  4. 通过openId获取用户信息

三. 信息加密与密钥管理

  1. 单向散列加密
  2. 对称加密
  3. 非对称加密
  4. 安全密钥管理

非对称加密

非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。

公钥与私钥是一对

  1. 公钥对数据进行加密,只有用对应的私钥才能解密
  2. 私钥对数据进行加密,只有用对应的公钥才能解密

过程:

  1. 甲方生成一对密钥,并将公钥公开,乙方使用该甲方的公钥对机密信息进行加密后再发送给甲方;
  2. 甲方用自己私钥对加密后的信息进行解密。
  3. 甲方想要回复乙方时,使用乙方的公钥对数据进行加密
  4. 乙方使用自己的私钥来进行解密。

甲方只能用其私钥解密由其公钥加密后的任何信息。

特点:

  1. 算法强度复杂
  2. 保密性比较好
  3. 加密解密速度没有对称加密解密的速度快。
  4. 对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多
  5. 适用于:金融,支付领域

四. 使用加签名方式,防止数据篡改

  1. 客户端:请求的数据分为2部分(业务参数,签名参数),签名参数=md5(业务参数)
  2. 服务端: 验证md5(业务参数)是否与签名参数相同

你可能感兴趣的:(数据安全 如何保证外网开放接口的安全性)