Http 接口安全设计分析

一 HTTP接口安全问题分析

  • HTTP的请求参数被篡改
  • HTTP请求参数加密传输
  • 请求有效性检查

二 密钥投递流程

  • 采用密钥和加密算法不分离,密钥全局固定
  • 采用密钥和加密算法分离,密钥通过后端服务接口下发

三 对比

方案 密钥 算法 防篡改(加签) 请求参数(加密) 请求有效性 安全
1 固定 固定 通过密钥和请求参数排序生成签名 不加密 请求头加时间戳
2 固定 固定 通过密钥和请求参数排序生成签名 加密 请求头加时间戳 一般
3 动态 固定 通过密钥和请求参数排序生成签名 不加密 请求头加时间戳
4 动态 固定 通过密钥和请求参数排序生成签名 加密 请求头加时间戳

四 方案详细分析

1.固定密钥和固定算法(密钥生成打进APP包)

根据HTTP请求头排序生成签名
1
2
3
4
5
6
· 解决问题1和3

举例: http://www.baidu.com?id=1&name=abc
			http header:  
				requenstId 时间戳毫秒级别
				sign: 根据请求头参数加requestId+固定的密钥(securityKey)按照约定算法生成签名
根据HTTP的body排序生成签名
1
2
3
4
5
6
· 解决问题1,2,3

举例: http://www.baidu.com?id=1&name=abc
			http header:  
				requenstId 时间戳毫秒级别
				sign: 根据请求头参数加requestId+(请求参数排序)+固定的密钥(securityKey)按照约定算法生成签名

2.动态密钥和固定算法(密钥在APP启动的时候下发APP端)

根据HTTP请求头排序生成签名
1
2
3
4
5
6
· 解决问题1和3

举例: http://www.baidu.com?id=1&name=abc
			http header:  
				requenstId 时间戳毫秒级别
				sign: 根据请求头参数加requestId+固定的密钥(securityKey)按照约定算法生成签名
根据HTTP的body排序生成签名
1
2
3
4
5
6
· 解决问题1,2,3

举例: http://www.baidu.com?id=1&name=abc
			http header:  
				requenstId 时间戳毫秒级别
				sign: 根据请求头参数加requestId+(请求参数排序)+固定的密钥(securityKey)按照约定算法生成签名

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家