1
回答
关于API服务器的接口安全性问题
利用AWS快速构建适用于生产的无服务器应用程序,免费试用12个月>>>   

最近在写一个系统,提供类 RESTful 的 API 接口。

看了不少网站,包括阿里云和AWS,发现他们的 RESTful API 都是用 Access-Key + Secret-Key 进行校验的。而我们平时网站貌似都是用一个 Token 字符串就搞定了……

就想问下,使用密钥对和单纯 Token 各有啥好处?我个人知道的只有密钥对可以在 HTTP(非HTTPS)下也保证一定的安全性。但是如果只提供 HTTPS,那么这个好处就没啥意义了。

大家怎么看呢?

举报
Fenying
发帖于8个月前 1回/350阅

如果网站的API提供的是HTTPS,首先就已解决传输过程的加密问题,使用带有效期token也就没什么问题了,除非用户的一些硬编码导致的涉密。

如果是非对称加密的密钥对,那么对接入方也有一定的开发要求,服务方和接入方都要保管彼此公钥和自己的私钥,接入成本增加。

选择何种方式一般看场合吧,像银行金融一类都需要高安全性的可以用服务器和客户端证书实现双向认证,像一般的开放API,不需要严格验证客户端身份的,token没什么问题

--- 共有 2 条评论 ---
Kit_lee 回复 @Fenying : 如果是这样两者的区别其实也是每次请求服务器的计算开销问题 8个月前 回复
Fenying不是非对称性加密算法的密钥对,而是Access-Key 和 Secret-Key 两个普通字符串……用于类似HMAC的校验方式 8个月前 回复
顶部