要给第三方厂商提供 HTTP 接口,该怎么做接口保护?

2019-12-23 11:39:47 +08:00
 jaylee4869

如果请求头带 token 的话会相对麻烦,参数 MD5 校验 目前来说比较简单可行,各位大佬有啥推荐的做法吗? 另外一个就是担心接口承受的频率,令牌桶限流我会考虑考虑实现一下……

3406 次点击
所在节点    API
7 条回复
993651481
2019-12-23 12:50:45 +08:00
个人感觉 token 得话可能更方便一些。写个 http 中间件,认证逻辑中间件做。md5 的话还得要考虑参数排序之类的
junan0708
2019-12-23 13:06:37 +08:00
限制 ip
chenuu
2019-12-23 13:10:01 +08:00
商户号配置 rsa/pgp,IP 白名单.内容上,约定敏感字段,拼一下走个 rsa 的签名验签.
lhx2008
2019-12-23 13:14:11 +08:00
token 就行,不过别让对方前端调
Laimf
2019-12-23 13:42:54 +08:00
token
sign 加签带时间戳
chinvo
2019-12-23 13:43:54 +08:00
token 加签名

token 可以用 OAuth 之类的方案

签名就是对主要字段做 hmac 或者私钥签名
chinvo
2019-12-23 13:44:45 +08:00
注意签名用的密钥绝对不能通过请求同时传递(仅参与签名而不对外暴露)

以及禁止前端直接调用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/631452

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX