文档章节

接口安全设计方案

 一路上有你
发布于 2017/04/06 16:01
字数 480
阅读 37
收藏 3
点赞 0
评论 0


一、需求:
    1.APP项目使用无校验访问接口,影响整个系统的安全
    2.需要多个系统共享session


二、期望:
    1.项目内部网络链接暴露,不会泄露数据
    2.提供给银行的接口泄露,不影响安全
    3.提供给APP使用的接口如果被拦截,不会泄露数据


三、情景样例:
    1.APP访问风控提供的接口
    http://192.168.1.200:8080/tsfkxt/user/getUsrOrderInf.do


四、常用的接口校验方式
    校验方式一:校验IP地址
    校验方式二:校验token
    校验方式三:校验签名


五、设计思路

    所有接口经过过滤器验证三个步奏之一:

    1.APP接口访问(签名:排序(商家ID+timestamp+signtype)MD5+sign)
        a.timestamp
        b.随机签名方式
        c.商家ID+秘钥(秘钥通过传过来的ID去redis取)
        d.验证签名是否通过

        访问方式-签名
        http://192.168.1.200:8080/tsfkxt/user/setUsrOrder.do?
        param1=value1&
        param2=value2&
        sign=149495e43b614d6dac9f610800b016ae&
        signtype=1
        timestamp=1490859938&

    签名方式:参与签名的参数按守字母排序(时间戳必须参与签名),然后md5之类处理
    拦截器@timestamp,拦截所有注解了时间戳的入口。
    如果时间差大于指定时间10S,则请求不处理,判断请求超时

    2.第三方的公司调用我们的接口(比如银行)
        a.IP白名单

        访问方式-直接访问:
        http://{white_list_ip}:8080/tsfkxt/user/whitelist_interface.do


    3.项目内部访问
        a.token访问机制
        b.session会话机制

        接口访问-带token或者session:
        http://192.168.1.200:8080/tsfkxt/user/setUsrOrder.do?
        param1=value1&
        token=yn7/6siXc9YKNkjYN/D9T4foJuUN8sNsb4JGX7WpJagbTxRkovejjeYY9AupzQVEtGSZbTFrSXbOrARW6a58QQ==


六、后台管理功能
    1.管理APP接口的商家用户
    2.管理白名单地址


七、补充
    1.项目启动,自动加载redis加载商家用户,白名单IP
    2.拦截所有请求,如果发现有相应标记的请求,跳入对应的验证程序

 

© 著作权归作者所有

共有 人打赏支持
粉丝 0
博文 1
码字总数 480
作品 0
东莞
APP接口安全设计

APP接口安全是APP接口设计中一个很重要的环节,良好的安全机制可以保护后端接口服务不被非法使用,限制和跟踪用户访问情况。下面是笔者从网上查找一些资料并结合公司实际业务设计的一个APP安...

zlikun ⋅ 2016/12/06 ⋅ 0

安全篇:安全方案设计4个原则

在未发生安全事件的时候,安全方案推进落地往往困难重重;而当发生安全事件时,安全方案的重要性被抬的很高,希望能够快速上线止损。这种尴尬的局面让很多安全工程师或安全接口人很为难,很多...

聪安 ⋅ 2017/11/25 ⋅ 0

大脑植入物发展一日千里,但也难逃黑客的潜在攻击

  来自比利时荷兰语区鲁汶大学安全研究领域的科学家们最近发表了一篇论文,该论文是一篇关于如何改进神经刺激器安全性的研究报告。神经刺激器是一种脑部植入设备,用于治疗慢性疼痛、帕金森...

DeepTech深科技 ⋅ 04/23 ⋅ 0

Arm推出PSA平台安全架构 助力物联网安全

Arm是物联网的首选架构,迄今为止已为1250亿芯片提供了计算能力。公司有一个宏大的愿景,即到2035年实现1万亿个设备的安全互连。但在实现这一愿景之前,业界需要达成共识——不再让安全成为互...

gunser ⋅ 04/25 ⋅ 0

基于Lua实现的脚本和服务器引擎--Node-Lua

Node-Lua是一款基于Lua实现的脚本和服务器引擎,它支持构建海量Lua服务(ContextLua)并以多线程方式运行在多核服务器上,采用了任务多路复用的设计方案,有效利用了多核优势。node-lua致力于构...

socoding ⋅ 2016/03/17 ⋅ 5

单例模式简介

什么是设计模式 设计模式代表了最佳实践,是软件开发过程中面临一般问题的解决方案。 设计模式是一套被反复使用、经过分类、代码设计总结的经验。 单例模式 单例模式也叫单件模式。Singleton...

duanjiatao ⋅ 2016/09/02 ⋅ 0

企业安全应急响应与缺陷管理软件 SRCMS V2 发布

SRCMS 是一款安全应急响应与缺陷管理软件,致力于为大、中、小企业和组织提供“最敏捷、安全和美观的安全应急响应中心的建站解决方案,帮助企业建立属于自己的安全应急响应中心和体系”。有了...

SRCMS ⋅ 2017/02/04 ⋅ 2

XX校区***和RADIUS服务的搭建部暑设计

方案概述 文档目的 《XX校区*和RADIUS部署设计方案》是关于本次项目规划的设计方案,它包括对XX校区*和RADIUS服务器的所属环境和具体的实施步骤。 项目背景 XX校区内网不能被外网访问,鉴于学...

hsk网络 ⋅ 06/21 ⋅ 0

ZABBIX 1.9.1 Alpha 发布,分布式监控系统

目前这个还是 alpha 版本,支持多网卡接口,更好的转换Web接口网络,重新设计未知的触发器和事件,修复了一些bug。 zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的...

红薯 ⋅ 2010/12/29 ⋅ 0

从IP到IP++ IToIP基础网络

当今世界瞬息万变,企业、政府、运营商面临日益复杂变化的挑战。企业面临的变化复杂多样:如客户的选择、竞争动向、技术发展、经济环境、外包与开发战略、分销与服务模式、商务价格、市场覆盖...

晨曦之光 ⋅ 2012/03/09 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

解决httpclient超时设置不生效的问题

最近公司有项目需要通过http调用第三方服务,且第三方服务偶有超时,故需要设置一定的超时时间防止不响应的情况出现。 初始设置如下: [java] view plain copy //超时设置 RequestConfig re...

Mr_Tea伯奕 ⋅ 8分钟前 ⋅ 0

过滤器Filter和拦截器HandlerInterceptor

过滤器 依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要...

hutaishi ⋅ 12分钟前 ⋅ 0

Redis入门详解(转)

Redis入门详解 Redis简介 Redis安装 Redis配置 Redis数据类型 Redis功能 持久化 主从复制 事务支持 发布订阅 管道 虚拟内存 Redis性能 Redis部署 Redis应用场景 Redis总结 Redis简介: Redi...

xiaoyaoyoufang ⋅ 25分钟前 ⋅ 0

说说javascript中的那些专业名词

DOM(Document Object Model) 文档对象模型 BOM(Browser Object Model) 浏览器对象模型 ECMA(European Computer Manufacturer's Association) 欧洲计算机制造商协会 W3C(World Wide Web Conso......

hang1989 ⋅ 44分钟前 ⋅ 0

Bootstrap Wizard 多步表单控件

废话 有一块需求是 有多步表单 点击下一步时触发验证一个范围内的表单,点击上一步或取消,清空表单并返回第一步,点击最后一步提交整个表单的 就找到了这个插件,本来自己写了一个原生的 fo...

无极之岚 ⋅ 今天 ⋅ 0

如何利用Spring Cloud构建起自我修复型分布式系统

利用Netflix所打造的组件及各类大家熟知的工具,我们完全可以顺利应对由微服务以及分布式计算所带来的技术挑战。 在过去一年当中,微服务已经成为软件架构领域一个炙手可热的新名词,而且我们...

harries ⋅ 今天 ⋅ 0

临近实习前的感想

再过两星期就要开始新的一段实习了,想想去年的这个时候也在实习,心中不免思绪万千,也一直想写对2017做个总结,但一直迟迟没有下笔。 2017年的春节,我就开始准备开学后找份实习。那时候就...

无精疯 ⋅ 今天 ⋅ 0

Spring AOP(面向切面编程)

Spring AOP概念: Spring AOP 可以劫持一个执行的方法,在方法执行之前或之后添加额外的功能。通常情况下,AOP把项目中需要在多处用到的功能,比如日志、安全和事物等集中到一个类中处理,而...

霍淇滨 ⋅ 今天 ⋅ 0

人工智能、机器学习、数据挖掘以及数据分析有什么联系?

人工智能是目前炙手可热的一个领域,所有的互联网公司以及各路大迦们纷纷表态人工智能将是下一个时代的革命性技术,可与互联网、移动互联网时代的变更相媲美;AlphaGo在围棋领域战胜人类最顶...

董黎明 ⋅ 今天 ⋅ 0

使用 vue-cli 搭建项目

vue-cli 是一个官方发布 vue.js 项目脚手架,使用 vue-cli 可以快速创建 vue 项目,GitHub地址是:https://github.com/vuejs/vue-cli 一、 安装 node.js 首先需要安装node环境,可以直接到中...

初学者的优化 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部