这是一个创建于 1608 天前的主题,其中的信息可能已经有所发展或是发生改变。
需求: 给第三方提供 api. 目前分类了 app_key; 那么 如何保证 api 的安全行那?
1. 防止重复调用
2. 防止被别人抓到接口非法构造参数调用
多谢
 |
1
securityCoding 2020-06-15 11:12:03 +08:00
1. 幂等
2. 链路安全靠 https , 参数安全靠加签 带着你的问题,看看大厂的 api 调用规范就明白了,比如支付宝 |
 |
2
wysnylc 2020-06-15 12:29:42 +08:00
1 楼说得对,抄支付宝
|
 |
3
xycool 2020-06-15 12:34:53 +08:00
最简单实现的白名单 ip
|
 |
4
firefox12 2020-06-15 12:50:17 +08:00
搭车问一个问题 一个 app 可能需要去调用一个第三方 app, 那个第三方 给了你 app_key 和 token, 你不能把这个放在 app 里面,否则反编译就暴露了, 但是每次去服务器拿其实也和裸奔差不多。唯一的办法 就是调用者 变成服务器,app 去服务器拿,服务器去第三方 app 拿,有更好的安全方案吗?
|
Select Language