首页 > 其他分享 >如何设计安全的 Web API

如何设计安全的 Web API

时间:2023-09-02 15:02:10浏览次数:50  
标签:Web 步骤 身份验证 安全 API 团队 hmac 客户端

如何设计安全的 Web API

当我们向用户开放 Web API 访问时,我们需要确保每个 API 调用都经过身份验证。 这意味着用户必须是他们声称的人。

在这篇文章中,我们探讨了两种常见的方法:

1. 基于令牌的身份验证

2. HMAC(基于哈希的消息认证码)认证

securityapi

下图说明了它们的工作原理。

基于Token
步骤 1 - 用户在客户端输入密码,客户端将密码发送到身份验证服务器。

第 2 步 - 身份验证服务器对凭据进行身份验证并生成带有到期时间的Token。

步骤 3 和 4 - 现在客户端可以使用 HTTP 标头中的令牌发送访问服务器资源的请求。 此访问权限在Token过期之前一直有效。

基于HMAC
该机制通过使用哈希函数(SHA256 或 MD5)生成消息认证码(签名)。

步骤1和2 - 服务器生成两个密钥,一个是Public APP ID(公钥),另一个是API Key(私钥)。

步骤 3 - 我们现在在客户端生成 HMAC 签名 (hmac A)。 该签名是使用图中列出的一组属性生成的。

步骤 4 - 客户端发送请求以访问服务器资源,并在 HTTP 标头中包含 hmac A。

步骤 5 - 服务器接收包含请求数据和身份验证标头的请求。 它从请求中提取必要的属性,并使用存储在服务器端的 API 密钥来生成签名 (hmac B.)

步骤 6 和 7 - 服务器比较 hmac A(在客户端生成)和 hmac B(在服务器端生成)。 如果匹配,则将请求的资源返回给客户端。


今天先到这儿,希望对云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管管,团队建设 有参考作用 , 您可能感兴趣的文章:
领导人怎样带领好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

MegadotnetMicroMsg_thumb1_thumb1_thu[2]

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

标签:Web,步骤,身份验证,安全,API,团队,hmac,客户端
From: https://www.cnblogs.com/wintersun/p/17673665.html

相关文章

  • Web应用测试与其他软件测试的区分
    Web应用系统开发完成后,需要对Web应用进行全面的测试,其测试方法与其他系统的测试既有相同之处,又有不同之处。相同之处体现在下面几个方面。(1)测试内容基本相同Web应用系统作为软件系统的一种形式,其测试内容也会包括功能、性能、易用性、兼容性和安全性测试等内容。(2)某些项目的测试方......
  • Linux中进程相关的API
    在Linux中,进程控制相关的API非常多。以下是一些常用的进程控制相关的系统调用(syscalls)和库函数:创建和终止进程:fork():创建一个新进程,这是创建新进程的最常用方法。vfork():类似于fork(),但有一些差异,主要用于exec调用之前。exec():系列函数(如execl(),execp(),execle()......
  • python flask 提供web的get/post开发
    转载请注明出处:使用pythonflask框架编写webapi中的get与post接口,代码编写与调试示例如下:fromflaskimportFlask,request,jsonifyapp=Flask(__name__)@app.route('/api/get',methods=['GET'])defhandle_get_request():try:#解析URL参数......
  • Webkit 实现页面滚动条美化
    当页面或者某个容器布局内容超出过后,就会有滚动条,但默认的有点丑,经常需要自己来美化一下,这里做个笔记吧./*美化全局的滚动条*/::-webkit-scrollbar{width:4px;height:6px;}::-webkit-scrollbar-corner{display:block;}::-webkit-scrollbar-thumb{......
  • Flink 1.17教程:WebUI提交作业及打jar包maven插件配置
    打jar包maven插件配置<build><plugins><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-shade-plugin</artifactId><version>3.2.4</version>......
  • springboot 引入swagger3.0 knife4j API
    1.引入依赖pom<properties><swagger-version>3.0.0</swagger-version><swagger-knife4j>3.0.3</swagger-knife4j></properties><parent><groupId>org.springframework.boot</groupId><artifactId>......
  • fastapi 的 TestClient 的 delete 方法如何传递请求体?
    在FastAPI的TestClient中,delete方法通常不适用于传递请求体(payload)。DELETE请求通常不允许发送请求体。不过,根据HTTP规范,您可以通过在URL中包含查询参数或使用params参数来传递参数。以下是使用FastAPI的TestClient进行DELETE请求时传递参数的示例:fromfastapi.testclientimportT......
  • 解密Prompt系列14. LLM Agent之搜索应用设计:WebGPT & WebGLM & WebCPM
    前两章,我们分别介绍了基于微调和prompt的工具调用方案,核心都是如何让大模型和工具进行交互,包括生成工具调用语句和处理工具调用请求。不过在实际应用中,想要设计一个可以落地的LLMAgent,需要更全面整体的系统设计。本章我们以搜索工具为例,介绍如何更好和搜索引擎进行交互的LLMAgen......
  • 线程安全的对象生命期管理
     编写线程安全的类不是难事,用同步原语保护内部状态即可。但是对象的生与死不能由对象自身拥有的mutex保护。racecondition:在即将析构一个对象时,从何而知此刻是否有别的线程正在执行该对象的成员函数?如何保证在执行成员函数期间,对象不会在另一个线程被析构?在调用某个对象的......
  • ConcurrentHashMap是如何保证线程安全的
    ConcurrentHashMap是concurrent包下的一个集合类。它是线程安全的哈希表。它是通过“分段锁”来实现多线程下的安全问题。它将哈希表分成了不同的段内使用了可重入锁(ReentrantLock ),不同线程只在一个段内存在线程的竞争。它不会对整个哈希表加锁。|初始化数据结构时的线程安全Has......