侧边栏壁纸
博主头像
千古互动

QQ:54505339

  • 累计撰写 45 篇文章
  • 累计收到 1 条评论

API接口几种安全验证方法

2024-5-5 / 0 评论 / 2391 阅读
温馨提示:
本文最后更新于 2024-5-5,已超过半年没有更新,若内容或图片失效,请留言反馈。

API接口几种安全验证方法
 
 

如何保证数据的安全

方式一:简单的密文传输

特点:
(1)服务端和客户端先约定好加密算法,加密密钥;
(2)客户端,传输前用约定好的密钥加密;
(3)传输密文;
(4)服务端,收到消息后用约定好的密钥解密;

黑客定理:
客户端是不安全的,属于黑客本地范畴,能被逆向工程。

方式二:一人一密,服务端生成密钥

特点:
(1)客户端和服务端提前约定好加密算法,在传递消息前,先协商密钥;
(2)客户端,请求密钥;
(3)服务端,返回密钥;
(4)然后用协商密钥加密消息,传输密文;


黑客定理:

(1)网上传输的内容是不安全的,黑客能得到加密key=X;
(2)客户端和服务端提前约定的加密算法是不安全的,黑客能得到加密算法;
(3)黑客截取后续传递的密文,可以用对应的算法和密钥解密;

应该如何优化呢?
根本上,密钥不能在网络上直接传输。

方法三:根据用户特性一人一密,密钥不再传输

特点:
(1)协商的密钥无需在网络传输;
(2)使用“具备用户特性的东西”作为加密密钥,例如:用户密码的散列值;
(3)一人一密,每个人的密钥不同;
(4)然后密钥加密消息,传输密文;
(5)服务端从db里获取这个“具备用户特性的东西”,解密;

黑客定理三:
用户客户端内存是安全的,属于黑客远端范畴,认为是安全的。