api接口安全（api接口安全性怎么防护）

本篇文章给大家谈谈api接口安全，以及api接口安全性怎么防护对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享api接口安全的知识，其中也会对api接口安全性怎么防护进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、08.如何保证API接口的安全性问题01
• 2、解析api接口包会不会中毒
• 3、你开放的API接口真的安全吗

08.如何保证API接口的安全性问题01

1.互联网Api接口到底如何保证安全性问题？
2.代码落地实战防御XSS、CSRF攻击
3.代码落地如何防御接口数据被黑客抓包篡改？
4.接口数据加密对称还是非对称加密好

XSS攻击通常指的是通过利用 网页 开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括 Java 、 VBScript 、 ActiveX 、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 [1]

脚本攻击：利用JavaScript 注入 到后台数据库中，在通过展示数据加载该脚本 该脚本中（

1.使用js获取cookie信息（jwt）

2.将该jwt数据 上传黑客服务器（ajax）

）

获取jwt---用户会话信息 让后模拟请求形式使用该jwt登录。

xss攻击典型网站：论坛、评论区

getUserInfo?userName=

getUserInfo?userName=

前端传递 js 脚本到服务器端

后端接口将该脚本存放数据库中

前端html

将用户前端所提交的参数进行过滤。

html 大于 小于号 <

该方式的缺陷：每个参数都需要像这样写 代码非常冗余

接口接受参数 ？传递参数形式---

传递参数都是json数据形式

spring mvc 接受 json数据提供 api回调

1.可以使用第三方抓包工具，对请求前后实现代理，可以修改参数请求内容和参数响应内容,抓包工具http调试工具

2.Fiddler4下载地址：https://pc.qq.com/detail/10/detail_3330.html

使用Fiddler4篡改请求之前：

使用MD5可以直接验证签名参数 MD5 属于单向加密，只能够暴力破解。

MD5应用场景 在nacos分布式配置中心中，使用MD5 比对文件内容是否发生改变

HasherPro比对文件内容是否发生改变。

MD5在线暴力破解地址：https://www.cmd5.com/

String userName= "123456" ;
System. out .println( DigestUtils. md5Hex (userName));

黑客如何破解？自己需要根据参数内容 生成签名

如果只是改了参数内容---没有用的 所以我们需要该签名

{"password":"123456","phoneNumber":"phoneNumber","channel":"安卓","equipment":""}

{sign=325ab041d4889825a46d1e1e802ab5de, timestamp=1652537015771}

解析api接口包会不会中毒

不会。解析api接口包是解析应用程序编程接口，不会中毒，是安全的。API是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定，用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部工作机制的细节。API是一组定义、程序及协议的集合，通过API接口实现计算机软件之间的相互通信，由于软件的规模日益庞大，常常需要把复杂的系统划分成小的组成部分，此时编程接口的设计十分重要。

你开放的API接口真的安全吗

你开放的接口真的就很安全吗，看看有没有做到如下几点

1.请求身份验证

2.请求参数校验

3.请求是否唯一

4.请求次数限制

请求身份验证
基于 AccessKey：为接口调用放分配AccessKey和SecretKey（不参与传输，只用于本地接口加密，不能泄露）

基于token身份验证：
1.用户登录提供认证信息（如：账号密码）服务器验证成功后将用户信息保存到token内并设置有效期，再返回token给调用方
2.调用方保存token，并在有效期内重新换取token，保证token是有效的
3.服务器验证token有效性，无效则拦截请求返回错误信息，反之则从token内获取用户信息进行后续操作

请求参数校验
1.校验参数合理性（如：参数类型，参数长度，参数值校验）
2.防止XSS，SQL注入（解决方案：过滤敏感字符或直接返回错误信息）
3.校验参数可靠性是否被篡改（可以将参数以特定格式排列+秘钥组成字符串，在进行MD5或SHA签名）

请求是否唯一
前面第3点解决了请求参数被篡改的隐患，但是还存在着重复使用请求参数伪造二次请求的隐患

timestamp+nonce方案

nonce指唯一的随机字符串 ，用来标识每个被签名的请求。通过为每个请求提供一个唯一的标识符，服务器能够防止请求被多次使用（记录所有用过的nonce以阻止它们被二次使用）。

然而，对服务器来说永久存储所有接收到的nonce的代价是非常大的。可以使用timestamp来优化nonce的存储 。

假设允许客户端和服务端最多能存在15分钟的时间差，同时追踪记录在服务端的nonce集合。当有新的请求进入时，首先检查携带的timestamp是否在15分钟内，如超出时间范围，则拒绝，然后查询携带的nonce，如存在已有集合，则拒绝。否则，记录该nonce，并删除集合内时间戳大于15分钟的nonce（可以使用redis的expire，新增nonce的同时设置它的超时失效时间为15分钟）。

请求次数限制

某些资源我们需要限制用户的请求次数，同时也为了防止非人为操作可能导致系统的崩溃
实现思路如下：
假如我们允许用户每秒钟最多10次请求，超过10次则返回“手速太快了，慢点把。。”
这里我们使用redis辅助我们实现：

以用户IP为key，请求次数为value，有效时间为1秒
用户在每秒的第一次访问的时候，此时我们的redis是没有key为用户ip的数据的（因为失效了，或者第一次请求）所以我们要初始化当前请求用户的ip为keyvalue为0到redis数据库

当用户在1s内再次发起请求我们就将此ip的请求次数+1，并判断请求次数是否已近=10
=10则返回给用户手速太快了!请稍后重试..否则继续执行后续操作

具体实现代码如下：

如有疑问可在下方留言，我会尽快答复，或者关注公众号 程序员MuziDong 随时了解新的动态

关于api接口安全和api接口安全性怎么防护的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 api接口安全的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于api接口安全性怎么防护、api接口安全的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。