亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何理解RESTful API的安全性

發布時間:2021-11-12 17:17:05 來源:億速云 閱讀:313 作者:柒染 欄目:大數據

如何理解RESTful API的安全性,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

保證RESTful API的安全性,主要包括三大方面: 
a) 對客戶端做身份認證 
b) 對敏感的數據做加密,并且防止篡改 
c) 身份認證之后的授權 
對客戶端做身份認證,有幾種常見的做法: 
在請求中加簽名參數

1.為每個接入方分配一個密鑰,并且規定一種簽名的計算方法。要求接入方的請求中必須加上簽名參數。這個做法是最簡單的,但是需要確保接入方密鑰的安全保存,另外還要注意防范replay攻擊。其優點是容易理解與實現,缺點是需要承擔安全保存密鑰和定期更新密鑰的負擔,而且不夠靈活,更新密鑰和升級簽名算法很困難。

使用標準的HTTP身份認證機制

HTTP Basic身份認證安全性較低,必須與HTTPS配合使用。HTTP Digest身份認證可以單獨使用,具備中等程度的安全性。

HTTP Digest身份認證機制還支持插入用戶自定義的加密算法,這樣可以進一步提高API的安全性。不過插入自定義加密算法在面向互聯網的API中用的不是很多。 
這個做法需要確保接入方“安全域-用戶名-密碼”三元組信息的安全保存,另外還要注意防范replay攻擊。

優點:基于標準,得到了廣泛的支持(大量HTTP服務器端、客戶端庫)。在服務器端做HTTP身份認證的職責可以由Web Server(例如Nginx)、App Server(例如Tomcat)、安全框架(例如Spring Security)來承擔,對應用開發者來說是透明的。HTTP身份認證機制(RFC 2617)非常好地體現了“分離關注點”的設計原則,而且保持了操作語義的可見性。

2.缺點:這類基于簡單用戶名+密碼機制的安全性不可能高于基于非對稱密鑰的機制(例如數字證書)。

使用OAuth協議做身份認證

OAuth協議適用于為外部應用授權訪問本站資源的情況。其中的加密機制與HTTP Digest身份認證相比,安全性更高。需要注意,OAuth身份認證與HTTP Digest身份認證之間并不是相互取代的關系,它們的適用場景是不同的。OAuth協議更適合于為面向最終用戶維度的API提供授權,例如獲取隸屬于用戶的微博信息等等。如果API并不是面向最終用戶維度的,例如像七牛云存儲這樣的存儲服務,這并非是OAuth協議的典型適用場景。 
3.對敏感的數據做加密,并且防止篡改,常見的做法有:

部署SSL基礎設施(即HTTPS),敏感數據的傳輸全部基于SSL。  
僅對部分敏感數據做加密(例如預付費卡的卡號+密碼),并加入某種隨機數作為加密鹽,以防范數據被篡改。 
  
身份認證之后的授權,主要是由應用來控制。通常應該實現某種基于角色+用戶組的授權機制,這方面的框架有不少(例如Spring Security),不過大多數開發團隊還是喜歡自己來實現相關功能。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

舒城县| 宜兴市| 莱芜市| 奇台县| 武定县| 黄龙县| 乌恰县| 水富县| 林周县| 兰溪市| 牙克石市| 遵义县| 慈溪市| 毕节市| 崇礼县| 四会市| 滁州市| 腾冲县| 平泉县| 舒兰市| 冷水江市| 聂拉木县| 康乐县| 澄城县| 牟定县| 武乡县| 阿城市| 百色市| 古蔺县| 关岭| 兴仁县| 德兴市| 绥滨县| 和田市| 咸阳市| 吉安市| 阳泉市| 娄底市| 土默特右旗| 桦甸市| 泾阳县|