app接口安全设计（接口安全设计问题）

本篇文章给大家谈谈app接口安全设计，以及接口安全设计问题对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享app接口安全设计的知识，其中也会对接口安全设计问题进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、保障接口安全的5种常见方式
• 2、怎么保证APP和服务器端通信的安全性
• 3、开放平台API接口安全性设计——微信支付为例
• 4、怎么写 App 接口设计方案
• 5、RESTful api接口安全优雅设计

保障接口安全的5种常见方式

一般有五种方式：
1、Token授权认证，防止未授权用户获取数据；
2、时间戳超时机制；
3、URL签名，防止请求参数被篡改；
4、防重放，防止接口被第二次请求，防采集；
5、采用HTTPS通信协议，防止数据明文传输；

所有的安全措施都用上的话有时候难免太过复杂，在实际项目中需要根据自身情况作出取舍，比如可以只使用签名机制就可以保证信息不会被篡改，或者定向提供服务的时候只用Token机制就可以了，如何取舍，全看项目实际情况和对接口安全性的要求。

HTTP协议是无状态的，一次请求结束，连接断开，下次服务器再收到请求，它就不知道这个请求是哪个用户发过来的，但是对我们有权限访问限制的模块而言，它是需要有状态管理的，以便服务端能够准确的知道HTTP请求是哪个用户发起的，从而判断他是否有权限继续这个请求。

Token的设计方案是用户在客户端使用用户名和密码登录后，服务器会给客户端返回一个Token，并将Token以键值对的形式存放在缓存（一般是Redis）中，后续客户端对需要授权模块的所有操作都要带上这个Token，服务器端接收到请求后进行Token验证，如果Token存在，说明是授权的请求。

Token生成的设计要求：
1、应用内一定要唯一，否则会出现授权混乱，A用户看到了B用户的数据；
2、每次生成的Token一定要不一样，防止被记录，授权永久有效；
3、一般Token对应的是Redis的key，value存放的是这个用户相关缓存信息，比如：用户的id；
4、要设置Token的过期时间，过期后需要客户端重新登录，获取新的Token，如果Token有效期设置较短，会反复需要用户登录，体验比较差，我们一般采用Token过期后，客户端静默登录的方式，当客户端收到Token过期后，客户端用本地保存的用户名和密码在后台静默登录来获取新的Token，还有一种是单独出一个刷新Token的接口，但是一定要注意刷新机制和安全问题；

根据上面的设计方案要求，我们很容易得到Token=md5(用户ID+登录的时间戳+服务器端秘钥)这种方式来获得Token，因为用户ID是应用内唯一的，登录的时间戳保证每次登录的时候都不一样，服务器端秘钥是配置在服务器端参与加密的字符串（即：盐），目的是提高Token加密的破解难度，注意一定不要泄漏；

客户端每次请求接口都带上当前时间的时间戳timestamp，服务端接收到timestamp后跟当前时间进行比对，如果时间差大于一定时间（比如：1分钟），则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

写过支付宝或微信支付对接的同学肯定对URL签名不陌生，我们只需要将原本发送给server端的明文参数做一下签名，然后在server端用相同的算法再做一次签名，对比两次签名就可以确保对应明文的参数有没有被中间人篡改过。

签名算法：
1、首先对通信的参数按key进行字母排序放入数组中（一般请求的接口地址也要参与排序和签名，那么需要额外添加url= http://url/getInfo 这个参数）；
2、对排序完的数组键值对用进行连接，形成用于加密的参数字符串；
3、在加密的参数字符串前面或者后面加上私钥，然后用md5进行加密，得到sign，然后随着请求接口一起传给服务器。

注意： 对于客户端的私钥一定要妥善处理好，不能被非法者拿到，如果针对于H5的项目，H5保存私钥是个问题，目前没有更好的方法，也是一致困扰我的问题，如果大家有更好的方法可以留言一起探讨。

客户端第一次访问时，将签名sign存放到服务器的Redis中，超时时间设定为跟时间戳的超时时间一致，二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次，如果被非法者截获，使用同一个URL再次访问，如果发现缓存服务器中已经存在了本次签名，则拒绝服务。如果在缓存中的签名失效的情况下，有人使用同一个URL再次访问，则会被时间戳超时机制拦截，这就是为什么要求sign的超时时间要设定为跟时间戳的超时时间一致。拒绝重复调用机制确保URL被别人截获了也无法使用（如抓取数据）。

方案流程：
1、客户端通过用户名密码登录服务器并获取Token；
2、客户端生成时间戳timestamp，并将timestamp作为其中一个参数；
3、客户端将所有的参数，包括Token和timestamp按照自己的签名算法进行排序加密得到签名sign
4、将token、timestamp和sign作为请求时必须携带的参数加在每个请求的URL后边
5、服务端对token、timestamp和sign进行验证，只有在token有效、timestamp未超时、缓存服务器中不存在sign三种情况同时满足，本次请求才有效；

众所周知HTTP协议是以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了客户端和服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为客户端和服务器之间的通信加密。
HTTPS也不是绝对安全的，如下图所示为中间人劫持攻击，中间人可以获取到客户端与服务器之间所有的通信内容。
中间人截取客户端发送给服务器的请求，然后伪装成客户端与服务器进行通信；将服务器返回给客户端的内容发送给客户端，伪装成服务器与客户端进行通信。 通过这样的手段，便可以获取客户端和服务器之间通信的所有内容。 使用中间人攻击手段，必须要让客户端信任中间人的证书，如果客户端不信任，则这种攻击手段也无法发挥作用。
针对安全性要求一般的app，可采用通过校验域名，证书有效性、证书关键信息及证书链的方式。

以上说的更多是设计阶段的思路，如果API已经在运行的话，我们则需要通过其他方式，如API网关工具来保护我们的API，这里推荐的是Eolinker，对于上述的5个方面，都有对应的功能做到保护API，可以自己部署开源版本试用一下： www.eolinker.com

怎么保证APP和服务器端通信的安全性

用HTTPS通信，另外APP往服务器接口发送的参数带token，还要加上签名，服务器端验签名（以防参数被篡改），校验token；同时加上时间戳，防止重放。（签名算法、密钥的分配安全存储要设计好）
对服务器接口要有监控，监控到异常情况要有处理方案。

开放平台API接口安全性设计——微信支付为例

API接口，类似 http://mypay.com/refund/order_id=123mch_id=123 ，这个请求我以商户mch_id=123的身份给订单号为order_id=123退款，如果服务器不辩别请求发起者的身份直接做相应的操作，那是及其危险的。

一般的，在PC端，我们是通过加密的cookie来做会员的辨识和维持会话的；但是cookie是属于浏览器的本地存储功能。APP端不能用，所以我们得通过token参数来辨识会员；而这个token该如何处理呢？
延伸开来，接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用。

一般来说，在前端对数据做加密或者前面，是不现实的。前后端使用HTTP协议进行交互的时候，由于HTTP报文为明文，所以通常情况下对于比较敏感的信息可以通过在前端加密，然后在后端解密实现"混淆"的效果，避免在传输过程中敏感信息的泄露（如，密码，证件信息等）。不过前端加密只能保证传输过程中信息是‘混淆’过的，对于高手来说，打个debugger，照样可以获取到数据，并不安全，所谓的前端加密只是稍微增加了攻击者的成本，并不能保证真正的安全。即使你说在前端做了RSA公钥加密，也很有可能被高手获取到公钥，并使用该公钥加密数据后发给服务端，所以务必认为前端的数据是不可靠的，服务端要加以辩别。敏感信息建议上https。

所以一般建议上https，敏感信息md5混淆，前端不传输金额字段，而是传递商品id，后端取商品id对应的金额，将金额等参数加签名发送到支付系统。金额可以是明文的。

token授权机制 ：用户使用用户名密码登录后，后台给客户端返回一个token（通常是UUID），并将Token-UserId键值对存储在redis中，以后客户端每次请求带上token，服务端获取到对应的UserId进行操作。如果Token不存在，说明请求无效。
弊端 ：token可以被抓包获取，无法预防MITM中间人攻击

用户每次请求都带上当前时间的时间戳timestamp，服务器收到请求后对比时间差，超过一定时长（如5分钟），则认为请求失效。时间戳超时机制是防御DOS攻击的有效手段。

将token，timestamp等其他参数以字典序排序，再加上一个客户端私密的唯一id（这种一般做在服务端，前端无法安全保存这个id）或使用私钥签名，将前面的字符串做MD5等加密，作为sign参数传递给服务端。

地球上最重要的加密算法：非对称加密的RSA算法。公钥加密的数据，可以用私钥解密；私钥签名（加密）的数据，可以用公钥验签。

RSA原理是对极大整数做因数分解，以下摘自维基百科。

暂时比较忙没时间，将于7月29日晚更新。
来更新啦。
微信支付安全规范，可以查看官方文档 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3
第1点中，其签名算法最重要的一步，是在最后拼接了商户私密的API密钥，然后通过md5生成签名，这时即使金额是明文也是安全的，如果有人获取并修改了金额，但是签名字段他是无法伪造的，因为他无法知道商户的API密钥。当然，除了微信支付的拼接API生成签名的方法，我们也可以通过java自带的security包进行私钥签名。其中nonce随机字符串，微信支付应该做了校验，可以防止重放攻击，保证一次请求有效，如果nonce在微信支付那边已经存在，说明该请求已执行过，拒绝执行该请求。

阮一峰老师的博客-RSA算法原理： http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html
维基百科： https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

怎么写 App 接口设计方案

编写接口设计方案头部必定是目录，要是在目录和正文中间插入本方案总设计师姓名和他的手机邮件等联系方式方便双方项目上对接自是极好的
一阐述面向的用户群和平台有哪些；
二要达到怎样的设计目标，如并发量，延迟等；
三设计的系统接口可能会有哪些问题和风险，基于以上，在进行设计过程中将会采用那些技术手段；
四是阐述一些接口命名规范，字段和数据长度限制规范，最大连接时间等；
在后面概述接口按业务或非业务分为哪几大块，订单一块，账户管理一块，日志一块，文件/图片一块；
接下来详述每块分别有哪些接口，具体如何定义的等等；
最后在阐述下整个系统与哪些第三方会有交集，这些接口提供方的公司名字？与这些公司的技术联系人是谁，联系方式是什么，与他们的数据通信方式是什么，他们的访问地址在何处，经过一系列测试后发现的延迟情况，安全问题等等，我方是如何解决的，在本次设计的接口中有哪些用到了这个第三方接口；

RESTful api接口安全优雅设计

-- 陈万洲

在项目中，需要为APP撰写API。刚开始接触的时候，并没有考虑太多，就想提供URL，APP端通过该URL进行查询、创建、更新等操作即可。但再对相关规范进行了解后，才发现，API的设计并没有那么简单，远远不是URL的问题，而是一个通信协议的整体架构

请求模式也可以说是动作、数据传输方式，通常我们在web中的form有GET、POST两种，而在HTTP中，存在下发这几种。

常见的请求参数

比如在数据过多, 需要对数据进行分页请求的时候, 我们应该统一 API 请求参数. 常见的有这些.

API的开发直接关系了APP是否可以正常使用，如果原本运行正常的API，突然改动，那么之前使用这个API的APP可能无法正常运行。APP是不可能强迫用户主动升级的，因此，通过API版本来解决这个问题。也就是说，API的多个版本是同时运行的，而且都要保证可以正常使用。

按照RESTful的规范，不同的版本也应该用相同的API URL，通过header信息来判断版本，再调用不同版本的程序进行处理。但是这明显会给开发带来巨大的成本。

解决办法有以下几种：

接口的数据一般都采用JSON格式进行传输，不过，需要注意的是，JSON的值只有六种数据类型：

所以，传输的数据类型不能超过这六种数据类型。以前，我们曾经试过传输Date类型，它会转为类似于"2016年1月7日 09时17分42秒 GMT+08:00"这样的字符串，这在转换时会产生问题，不同的解析库解析方式可能不同，有的可能会转乱，有的可能直接异常了。要避免出错，必须做特殊处理，自己手动去做解析。为了根除这种问题，最好的解决方案是用毫秒数或者字符串表示日期。

服务器返回的数据结构，一般为：

不同错误需要定义不同的返回码，属于客户端的错误和服务端的错误也要区分，比如1XX表示客户端的错误，2XX表示服务端的错误。这里举几个例子：

错误信息一般有两种用途：一是客户端开发人员调试时看具体是什么错误；二是作为App错误提示直接展示给用户看。主要还是作为App错误提示，直接展示给用户看的。所以，大部分都是简短的提示信息。

data字段只在请求成功时才会有数据返回的。数据类型限定为对象或数组，当请求需要的数据为单个对象时则传回对象，当请求需要的数据是列表时，则为某个对象的数组。这里需要注意的就是，不要将data传入字符串或数字，即使请求需要的数据只有一个，比如token，那返回的data应该为：

首先，使用https可以在数据包被抓取时多一层加密。我们现在的APP使用环境大部分都是在路由器WIFI环境下，一旦路由器被入侵，那么黑客可以非常容易的抓取到用户通过路由器传输的数据，如果使用http未经加密，那么黑客可以很轻松的获取用户的信息，甚至是账户信息。

其次，即使使用https，也要在API数据传输设计时，正确的采用加密。例如直接将token信息放在URL中的做法，即使你使用了https，黑客抓不到你具体传输的数据，但是可以抓到你请求的URL啊！（查了资料了，https用GET方式请求，也仅能抓到域名字符部分，不能抓到请求的数据，但是URL可以在浏览器或特殊客户端工具中直接看到。多谢下面的朋友指正错误）因此，使用https进行请求时，要采用POST、PUT或者HEAD的方式传输必要的数据。

现在，大部分App的接口都采用RESTful架构，RESTFul最重要的一个设计原则就是，客户端与服务器的交互在请求之间是无状态的，也就是说，当涉及到用户状态时，每次请求都要带上身份验证信息。实现上，大部分都采用token的认证方式，一般流程是：

然而，此种验证方式存在一个安全性问题：当登录接口被劫持时，黑客就获取到了用户密码和token，后续则可以对该用户做任何事情了。用户只有修改密码才能夺回控制权。

如何优化呢？第一种解决方案是采用HTTPS。HTTPS在HTTP的基础上添加了SSL安全协议，自动对数据进行了压缩加密，在一定程序可以防止监听、防止劫持、防止重发，安全性可以提高很多。不过，SSL也不是绝对安全的，也存在被劫持的可能。另外，服务器对HTTPS的配置相对有点复杂，还需要到CA申请证书，而且一般还是收费的。而且，HTTPS效率也比较低。一般，只有安全要求比较高的系统才会采用HTTPS，比如银行。而大部分对安全要求没那么高的App还是采用HTTP的方式。

我们也给每个端分配一个appKey，比如Android、iOS、微信三端，每个端分别分配一个appKey和一个密钥。没有传appKey的请求将报错，传错了appKey的请求也将报错。这样，安全性方面又加多了一层防御，同时也方便对不同端做一些不同的处理策略。

另外，现在越来越多App取消了密码登录，而采用手机号+短信验证码的登录方式，我在当前的项目中也采用了这种登录方式。这种登录方式有几种好处：

不需要注册，不需要修改密码，也不需要因为忘记密码而重置密码的操作了；

用户不再需要记住密码了，也不怕密码泄露的问题了；

相对于密码登录其安全性明显提高了。

显式用户和隐式用户，我不知道这两个词用的是否确切。 

显式用户指的是，APP程序中有用户系统，一个username、password正确的合法用户，称之为显式的用户，

通常显式用户都需要注册，登录以后能完成一些个人相关的操作。

隐式用户指的是，APP程序本身就没有用户系统，或者一个在没有登录的情况下，使用我们APP的用户。

在这种情况下，可以通过客户端生成的UDID来标识一个用户。

有了用户信息，我们就能够了解不同用户的使用习惯，而不仅仅是全体用户的一个整体的统计信息，

有了这些个体的信息之后，就可以做一些用户分群、个性化推荐之类的事情。

如果是SAAS版本，还需要区分不同商户的用户

接口文档有时候是项目初期就定下来的，前后端开发人员按照接口规范开发，

有的是接口开发完成后写的。

接口文档要清晰、明了，包含多少个接口，每个接口的地址、参数、请求方式、数据交换格式、返回值等都要写清楚。

接口测试程序，有条件的话，也可以提供，方便前后端的调试。

如果是springMVC开发的话，可以用swagger，后端只要加几个注释发一个url给前端就可以了，轻松又高效。

在做PC端网站的时候，我们都会给我们的网站加上个统计功能，要么自己写统计系统，要么使用第三方的比如GA、百度等。

移动端接口API则需要我们自己实现统计功能，

这时就需要我们尽可能多的收集客户端的信息，除了传统的IP、User-Agent之外，还应该收集一些移动相关的信息，

比如

手机操作系统，是android还是ios，都是什么版本，

用户使用的网络状况，是2G、3G、4G还是WIFI

客户端APP是什么版本信息。

这样，有助于我们更好的了解我们用户的使用情况。 关于app接口安全设计和接口安全设计问题的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 app接口安全设计的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于接口安全设计问题、app接口安全设计的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。