如何设计安全的 Web API

如何设计安全的 Web API ？

当我们向用户开放 Web API 访问时，我们需要确保每个 API 调用都经过身份验证。 这意味着用户必须是他们声称的人。

在这篇文章中，我们探讨了两种常见的方法：

1. 基于令牌的身份验证

2. HMAC（基于哈希的消息认证码）认证

下图说明了它们的工作原理。

基于Token
步骤 1 - 用户在客户端输入密码，客户端将密码发送到身份验证服务器。

第 2 步 - 身份验证服务器对凭据进行身份验证并生成带有到期时间的Token。

步骤 3 和 4 - 现在客户端可以使用 HTTP 标头中的令牌发送访问服务器资源的请求。 此访问权限在Token过期之前一直有效。

基于HMAC
该机制通过使用哈希函数（SHA256 或 MD5）生成消息认证码（签名）。

步骤1和2 - 服务器生成两个密钥，一个是Public APP ID（公钥），另一个是API Key（私钥）。

步骤 3 - 我们现在在客户端生成 HMAC 签名 (hmac A)。 该签名是使用图中列出的一组属性生成的。

步骤 4 - 客户端发送请求以访问服务器资源，并在 HTTP 标头中包含 hmac A。

步骤 5 - 服务器接收包含请求数据和身份验证标头的请求。 它从请求中提取必要的属性，并使用存储在服务器端的 API 密钥来生成签名 (hmac B.)

步骤 6 和 7 - 服务器比较 hmac A（在客户端生成）和 hmac B（在服务器端生成）。 如果匹配，则将请求的资源返回给客户端。

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯，请关注我的微信订阅号：

作者：Petter Liu
出处：http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。