日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何設計安全的API調用?

如何為網(wǎng)站設計安全的 API 訪問?

創(chuàng)新互聯(lián)公司長期為超過千家客戶提供的網(wǎng)站建設服務,團隊從業(yè)經(jīng)驗10年,關注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務;打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為會寧企業(yè)提供專業(yè)的做網(wǎng)站、成都做網(wǎng)站會寧網(wǎng)站改版等技術服務。擁有10年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

我們在設計一個網(wǎng)站或平臺的時候,經(jīng)常需要向用戶開放 API 訪問。這樣用戶就可以程序化地調用一些功能,舉幾個例子:

  1. 交易所開放 API 讓用戶可以進行低時延的程序化交易,
  2. 微信公眾號平臺開放 API 讓三方工具進行運營管理工作,
  3. Stripe 開放 API 讓商家和其他平臺能很好地集成支付功能。

當我們向用戶開放 API 訪問時,我們需要確保每次 API 調用都經(jīng)過鑒權。這意味著我們需要確認用戶是他們所聲稱的身份。

我們一般使用兩種常見的方法來進行鑒權:

  1. 基于令牌的身份驗證
  2. HMAC(基于哈希的消息驗證碼)驗證

下圖說明了它們的工作原理。

01 基于令牌

第 1 步

用戶在客戶端輸入密碼,然后客戶端將密碼發(fā)送到鑒權服務器。

第 2 步

鑒權服務器驗證密碼并生成一個有有效期的令牌。

第 3 步和第 4 步

現(xiàn)在,客戶端可以發(fā)送請求,使用 HTTP 頭中帶有的令牌訪問服務器資源。這種訪問在令牌過期前一直有效。

02 基于 HMAC

這種機制通過使用哈希函數(shù)(SHA256 或 MD5)生成消息驗證碼(簽名)。

第 1 步和第 2 步

服務器生成兩個密鑰,一個是公共 APP ID(公鑰),另一個是 API Key(私鑰)。

第 3 步

現(xiàn)在我們在客戶端生成一個 HMAC 簽名(hmac A)。該簽名是根據(jù)圖中列出的一組字段生成的。注意這里會加入請求的時間戳,這樣一個 HMAC 簽名是有有效期的,不會一直有效。

第 4 步

客戶端發(fā)送請求來訪問服務器資源,HTTP 頭中包含 hmac A。

第 5 步

服務器收到包含請求數(shù)據(jù)和鑒權標頭的請求。它從請求中提取必要的字段,并使用存儲在服務器端的 API Key 生成簽名(hmac B)。

第 6 步和第 7 步

服務器會比較 hmac A(在客戶端生成)和 hmac B(在服務器端生成)。如果兩者匹配,請求的資源將返回給客戶端。


當前標題:如何設計安全的API調用?
文章地址:http://www.5511xx.com/article/dhogchi.html