APP后端服务架构,接口安全

码农的道途 发布于 2016/06/13 08:51
阅读 2K+
收藏 2
关于APP的后端服务器,接口安全应该具有哪些方面的考虑。 架构需要有哪些方面的考量 创业项目预备20人开发团队。JAVA后端。电商项目。 其实已有一些参考。但纯属我个人想知道大家是怎么做的

加载中
2
此号作废
此号作废

客户端合法性验证,重要操作二次认证,密码防暴力破解,敏感数据加密传输,防csrf,再关注下xss、sql注入就行了

另外用https要校验证书,及时更新openssl安全补丁,设计好密码找回逻辑

0
pizigou
pizigou

1. 重要数据走HTTPS

2. 接口因为没有默认的SESSION 会话机制,需要做有有效期的签名或则TOKEN机制

3. 敏感数据一定要再次加密传输

4. 前端代码中别留敏感密钥

5. 做好防注入

0
itmyhome
itmyhome

请求报文和响应报文需要做签名验签.

请求报文和响应报文含有敏感数据的可以考虑RSA加密.

0
My~smile    
My~smile    
[4][3][2][8][5][5][5][5][5][12][12]
0
r00txx
r00txx
其实如果你最终要的效果是不想接口直接暴露,但是又能用restful服务的话,那可以用node做中间层,似乎目前这里的回答都不能解决直接请求暴露的问题
0
码农的道途
码农的道途

这个系统我考虑的是两点

1、接口被刷怎么处理、接口数据的验证。

2、后端的架构怎么设计才能合理,各位提到的这些好像都需要客户端来支持,有没有办法后端处理

0
Ambitor
Ambitor

说说自己知道的:1、简单加密传输  3、签名证书 4、摘要认证+随机数 5、HTTPS  (使用token) 

可以说的是 现在一般支付宝的接口都是HTTPS 然后签名证书

0
chendc
chendc

 接口可以分两种:1.公开的,不需要鉴权。2.需要鉴权的。

需要鉴权的接口 可以用 JsessionId + sessionKey 作为唯一的标识处理。可以在 接入层 去考虑这个问题。 不满足条件的,直接干了。连请求数据的机会都没有。

app -> 接入层->接口业务服务器

0
显峰哥

1.原文+token   (这样防止最后提交的密文被别人拿来重复刷)服务端将token放入缓存中,服务端如果有则表示重复提交
2. 报文加密的原理参考https的原理
3.几个关键的数据  
RSA公私钥,公钥在客户端 私钥在服务端
AES key 和 nouce 用于加密
hmac key 用于签名
4.客户端加密步骤
(1)随机生成aes key和 nouce
(2)随机生成hmac key
(3)用ras公钥对aeskey 进行加密然后进行base64编码
(4)用ras公钥对hmac key 进行加密然后进行base64编码
(5)nouce直接base64编码
(6)用aeskey + nouce 对原文加密 然后进行base64编码
(7)用hmac key 对 aes加密后的数据做hmac签名
 最后 (3)(4)(5)(6) (7)用|拼接
 5. 服务端解密 步骤相反就可以了 然后用同样的hmac 去签名  签出来的结果一致就可以了


返回顶部
顶部