关于API服务器的接口安全性问题

全体人员 发布于 2017/04/05 14:54
阅读 424
收藏 0

最近在写一个系统,提供类 RESTful 的 API 接口。

看了不少网站,包括阿里云和AWS,发现他们的 RESTful API 都是用 Access-Key + Secret-Key 进行校验的。而我们平时网站貌似都是用一个 Token 字符串就搞定了……

就想问下,使用密钥对和单纯 Token 各有啥好处?我个人知道的只有密钥对可以在 HTTP(非HTTPS)下也保证一定的安全性。但是如果只提供 HTTPS,那么这个好处就没啥意义了。

大家怎么看呢?

加载中
0
Kit_lee
Kit_lee

如果网站的API提供的是HTTPS,首先就已解决传输过程的加密问题,使用带有效期token也就没什么问题了,除非用户的一些硬编码导致的涉密。

如果是非对称加密的密钥对,那么对接入方也有一定的开发要求,服务方和接入方都要保管彼此公钥和自己的私钥,接入成本增加。

选择何种方式一般看场合吧,像银行金融一类都需要高安全性的可以用服务器和客户端证书实现双向认证,像一般的开放API,不需要严格验证客户端身份的,token没什么问题

Kit_lee
Kit_lee
回复 @Fenying : 如果是这样两者的区别其实也是每次请求服务器的计算开销问题
全体人员
全体人员
不是非对称性加密算法的密钥对,而是Access-Key 和 Secret-Key 两个普通字符串……用于类似HMAC的校验方式
返回顶部
顶部