1. 接口安全的实现分类
看不懂:对请求响应的数据进行加密和解密
看不到:对请求接口的类型和参数校验,让自行请求的用户看不到数据
2. 看不懂
使用base64对数据进行编码解码
3. 看不到
(1)鉴权
不用多说了
(2)暗号
例如请求一个接口,用户要上传用户id
那么可以再加一个暗号参数
用MD5加密用户id和盐
拿暗号和用户id作为参数向后端请求
后端拿到参数后,以同样的规则进行加密得到自己加密的暗号
两个暗号比较,相等则正常返回
(3)AK/SK
AK/SK算是比较专业的暗号
AK为Access Key ID,SK为Secret Access Key
客户端在调用的服务端接口时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行请求,在服务端接收到这个请求的时候,首先会根据ak去数据库里面去找到对应的sk,然后使用sk对请求内容进行加密得到一个签名,然后对比客户端传过来的签名和服务端计算的出来的签名是否一致,如果一致则代表身份认证通过,反之则不通过。
详细步骤,参看漓江书院api文档,写过一个了
