APP后端服务架构,接口安全
关于APP的后端服务器,接口安全应该具有哪些方面的考虑。 架构需要有哪些方面的考量 创业项目预备20人开发团队。JAVA后端。电商项目。 其实已有一些参考。但纯属我个人想知道大家是怎么做的
写回答
-
IT从业说说自己知道的:1、简单加密传输 3、签名证书 4、摘要认证+随机数 5、HTTPS (使用token)
其实如果你最终要的效果是不想接口直接暴露,但是又能用restful服务的话,那可以用node做中间层,似乎目前这里的回答都不能解决直接请求暴露的问题
可以说的是 现在一般支付宝的接口都是HTTPS 然后签名证书
1.原文+token (这样防止最后提交的密文被别人拿来重复刷)服务端将token放入缓存中,服务端如果有则表示重复提交- 报文加密的原理参考https的原理
3.几个关键的数据
RSA公私钥,公钥在客户端 私钥在服务端
AES key 和 nouce 用于加密
hmac key 用于签名
4.客户端加密步骤
(1)随机生成aes key和 nouce
(2)随机生成hmac key
(3)用ras公钥对aeskey 进行加密然后进行base64编码
(4)用ras公钥对hmac key 进行加密然后进行base64编码
(5)nouce直接base64编码
(6)用aeskey + nouce 对原文加密 然后进行base64编码
(7)用hmac key 对 aes加密后的数据做hmac签名
最后 (3)(4)(5)(6) (7)用|拼接- 服务端解密 步骤相反就可以了 然后用同样的hmac 去签名 签出来的结果一致就可以了
2019-07-17 19:46:36赞同 展开评论 打赏 - 报文加密的原理参考https的原理
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
