前言
在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,
那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,
然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢?
设计
对于敏感的api接口,需使用https协议
https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。https协议需要ca证书,一般需要交费。
1、原理
用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个PID令牌,用户再次获取信息时,
带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:
① 时间戳:timestamp
② PID令牌:PID(在这我们给定义为PID)
然后将所有用户请求的参数(包括timestamp,pid),然后更具MD5加密(可以加点盐),生成动态的url。
然后登陆后每次调用用户信息时,带上timestamp,pid参数。
加上时间戳和pid后的URL:http://127.0.0.1:8888/index?pid=d073dae99f70b0cda2fa1ef8d25c527f|1475117419.5424652|0
就变成一个动态的而且相对的具有高安全的,保证数据安全的访问。
2、具体实现
1. api请求客户端想服务器端一次发送用用户认证信息(用户名和密码),服务器端请求到改请求后,验证用户信息是否正确。
如果正确:则返回一个唯一不重复的字符串,然后在Redis(任意缓存服务器)中维护这个用户信息关系,以便其他api对pid的校验。
如果错误:则返回错误码。
2.服务器设计一个url请求拦截规则
①判断是否包含timestamp,pid参数,如果不含有返回错误码。 ②根据用户请求的url参数,服务器端按照同样的规则生成动态的URL,对比请求的动态url与服务端生成的是否相等,相等则放行允许访问。 ③判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如十秒),如果超过则说明该url已经过期。 ④记录下每次请求的动态URL,规定一个动态的URL只能访问一次,检测每次请求的url是否请求过,去过存在就返回错误代码(处理url被拦截并且在十秒内请求的访问)。 ⑤此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。
3.定期处理保存下来的动态请求URL
代码实现
服务端规定的规则
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import tornado.ioloop
import tornado.web
import hashlib
import time access_record = [] # 创建第一次登录过URL列表 PID_LIST = [ # pid列表
'qwe',
'ioui',
'234s',
] class MainHandler(tornado.web.RequestHandler):
def get(self):
# 获取url中全部数据
pid = self.get_argument('pid', None)
# 获取变量
m5, client_time, i = pid.split('|') # 获得数据,以“|”分割开
print(m5, client_time, i)
server_time = time.time() # 服务端的当前时间
# 时间超过10s禁止
if server_time > float(client_time) + 10: # 服务端的当前时间大于客户端当前时间加10秒,表示过期不允许访问
self.write('gun')
return
# 处理10s内容重复的请求
if pid in access_record: # 如果客户端请求的动态URL在第一次登录过的URL列表中
self.write('gun')
return
access_record.append(pid) # 允许通过的url添加到列表中 pid = PID_LIST[int(i)] # 获得客户端发来的pid后面携带的数字
ramdom_str = "%s|%s" % (pid, client_time) # 把客户的pid与当前时间戳拼接
h = hashlib.md5() # MD5加密值
h.update(bytes(ramdom_str, encoding='utf-8')) # 把客户的pid与当前时间戳拼接一个字符串再尽心md5加密
server_m5 = h.hexdigest() # 服务端生成的动态URL
# print(m5,server_m5)
if m5 == server_m5: # 客户生成的与服务端生成的进行对比
self.write("Hello, world")
else:
self.write('gun') application = tornado.web.Application([
(r"/index", MainHandler),
]) if __name__ == "__main__":
application.listen(8888)
tornado.ioloop.IOLoop.instance().start()
客户端按规则生成符合的
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import time
import requests
import hashlib PID = 'qwe' # 客户的PID current_time = time.time() # 当前时间戳
ramdom_str = "%s|%s" % (PID, current_time) # 把pid与当前时间戳拼接成一个字符串
h = hashlib.md5() # md5加密
h.update(bytes(ramdom_str, encoding='utf-8')) # 把pid与当前时间戳拼接成一个字符串再进行md5加密
UID = h.hexdigest() # 加密后的字符串 q = "%s|%s|0" % (UID, current_time) # 在把这个字符串后面拼接一个数值 0
url = 'http://127.0.0.1:8888/index?pid=%s' % q # 生成最后生成的动态url
print(url)
ret = requests.get(url)
print(ret.text)
测试效果代码
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import requests ret = requests.get('http://127.0.0.1:8888/index?pid=c2539948caa7b7fe0d00fcd9d75b7574|1474341577.4938722|0')
print(ret.text)
这是比较粗超的API认证机制,可以初步了解。
App开放接口api安全性的设计与实现的更多相关文章
-
【转】App开放接口api安全性—Token签名sign的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...
-
App开放接口api安全性—Token签名sign的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...
-
App开放接口API安全性 — Token签名sign的设计与实现
在app开放接口API的设计中,避免不了的就是安全性问题. 一.https协议 对于一些敏感的API接口,需要使用https协议. https是在http超文本传输协议加入SSL层,它在网络间通信是加 ...
-
APP开放接口API安全性——Token令牌Sign签名的设计与实现
在APP开放接口API的设计中,避免不了的就是安全性问题. 一.https协议 对于一些敏感的API接口,需要使用https协议.https是在http超文本传输协议加入SSL层,它在网络间通信是加密 ...
-
App开放接口API安全性之Token签名Sign的设计与实现
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...
-
访问API安全性认证设计
1.用户POST登录(账号+密码) | |成功 |2.返回(Private key+时间戳)加密字符串+用户信息+缓存到内存中 | |发起其它请求 |3.发起请求时携带Request参数和(Reque ...
-
开放接口/RESTful/Api服务的设计和安全方案详解
一.总体思路 这个涉及到两个方面问题:一个是接口访问认证问题,主要解决谁可以使用接口(用户登录验证.来路验证)一个是数据数据传输安全,主要解决接口数据被监听(HTTPS安全传输.敏感内容加密.数字签名 ...
-
开放接口/RESTful/Api服务的设计和安全方案
总体思路 这个涉及到两个方面问题:一个是接口访问认证问题,主要解决谁可以使用接口(用户登录验证.来路验证)一个是数据数据传输安全,主要解决接口数据被监听(HTTPS安全传输.敏感内容加密.数字签名) ...
-
开放数据接口 API 简介与使用场景、调用方法
此文章对开放数据接口 API 进行了功能介绍.使用场景介绍以及调用方法的说明,供用户在使用数据接口时参考之用. 在给大家分享的一系列软件开发视频课程中,以及在我们的社区微信群聊天中,都积极地鼓励大家开 ...
随机推荐
-
C#设计模式系列:备忘录模式(Memento)
1.备忘录模式简介 1.1>.定义 备忘录模式在不破坏封装性的前提下,捕获一个对象的内部状态,并在该对象之外保存这个状态.这样以后就可以将该对象恢复到原先保存的状态. 1.2>.使用频率 ...
-
Hadoop随笔(一):工作流程的源码
一.几个可能会用到的属性值 1.mapred.map.tasks.speculative.execution和mapred.reduce.tasks.speculative.execution 这两个 ...
-
DP:Miking Time(POJ 3616)
2015-09-21 奶牛挤奶 题目大意就是这只Bessie的牛产奶很勤奋,某农民有一个时刻表,在N时间内分成M个时间段,每个时间段Bessie会一直产奶,然后有一定的效益,并且Bessie产奶后要休 ...
-
HDU 2673 shǎ崽 OrOrOrOrz
#include <cstdio> #include <algorithm> using namespace std; int main() { int n; while (s ...
-
hbase列表排序
hbase都是依照字典序进行排序的,也就是降序,在页面的表现就是最早的数据(rowkey最小的)排在前面. 眼下的解决方式是:给主键添加一个外键关联表.外键的生成规则是 400000000000-主键 ...
-
关于 HashMap 随笔
hashMap 的一些认识: 基于哈希表的Map接口的非同步实现,定义了键映射到值的规则 此实现提供所有可选的映射操作,并允许使用null值和null键 根据hash算法,确定key-value的存贮 ...
-
guxh的python笔记七:抽象基类
1,鸭子类型和白鹅类型 1.1,白鹅类型 白鹅类型对接口有明确定义,比如不可变序列(Sequence),需要实现__contains__,__iter__,__len__,__getitem__,__ ...
-
HDU - 5201 :The Monkey King (组合数 &; 容斥)
As everyone known, The Monkey King is Son Goku. He and his offspring live in Mountain of Flowers and ...
-
KMP Demo
The key of Kmp is to build a look up table that records the match result of prefix and postfix. Valu ...
-
C/C++编程可用的Linux自带工具
GNU Binary Utilities或binutils是一整套的编程语言工具程序,用来处理许多格式的目标文件.当前的版本原本由在Cygnus Solutions的程序员以Binary File D ...