如何防止API接口被恶意调用
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台1. 客户端防护1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。2.客户端双反hook,反调试,防逆向。3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。2.
如何防止API接口被恶意调用
1. 客户端防护
1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。
2.客户端双反hook,反调试,防逆向。
3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。
2. 传输层防护
1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高一些难度。
3. 服务端防护
1.验证签名与授权信息是否合法,是否失效。
2.参数合法性校验,例如时间戳和参数签名校验。过滤一些非法参数。
3.数据加密,签名可以采用非对称加密,参数采用对称加密,密匙采用非对称的私匙。
4.定时更新签名以及加密信息。
5.接口监控,接口的使用设备,使用频率,调用顺序是否合法。
6.风控策略防护,有一点作用但是对于有明确指向性的攻击意义不大,IP可以换,频率可以变,很容易就绕过了,策略的设计上要注意尽量少用短命的规则,而且一般只对低级别的对抗有效。
7.通过风控平台进行用户行为分析,数据挖掘,然后通过机器学习形成风控模型,对风险进行全方位识别,预警以及管控。
4. 安全鉴权案例
4.1 微盟开放平台
微盟也是根据OAuth2.0授权流程实现。
| 参数 | 说明 |
|---|---|
| client_id | 开发者应用用于发起微盟Oauth_2.0授权的凭证(可在“开发者中心”创建应用后获取到) |
| client_secret | 开发者应用用于发起微盟Oauth_2.0授权的凭证(可在“开发者中心”创建应用后获取到) |
| redirect_uri | 应用发起请求时,所传的回调地址参数,用于接收平台返回的数据 |
| access_token | 开发者完成授权后,被颁发调用微盟API 的凭证 |
| refresh_token | 刷新access_token的凭证,当access_token过期时,开发者可以用refresh_token刷新得到新的access_token |
微盟鉴权文档地址:https://cloud.weimob.com/saas/word/detail.html?tag=564&menuId=2
4.2 微信开放平台
微信开放平台授权需要7部才能完成,并且在此之前还需要通过开放平台开发配置,数据通过AES加密验证。
1、配置授权事件URL,用于接收[component_verify_ticket]。
2、获得component_verify_ticket后,按照[获取第三方平台 component_access_token]接口文档,调用接口获取component_access_token。
3、获得component_access_token后,按照[获取预授权码 pre_auth_code]接口文档 ,调接口获取pre_auth_code。
4、获得pre_auth_code后,按照[授权技术流程说明]文档 ,引导用户授权后获取authorization_code
5、获得authorization_code后,按照[使用授权码换取公众号或小程序的接口调用凭据和授权信息]接口文档 ,调接口获取authorizer_refresh_token。
6、获得authorizer_refresh_token后,按照[获取/刷新授权公众号或小程序的接口调用凭据]接口文档 ,调接口获取authorizer_access_token。
7、按照接口文档,代替公众号或小程序调用接口。
微信开放平台授权文档地址:https://developers.weixin.qq.com/doc/oplatform/Third-party_Platforms/2.0/api/Before_Develop/creat_token.html
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
0
0- 0
已为社区贡献2条内容
所有评论(0)