谈一谈API接口开发

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 谈一谈API接口开发

做过开发的程序猿,基本都写过接口,写接口不算难事,与接口交互的对象核对好接口的地址、请求参数和响应参数即可,我在作为面试官去面试开发人员的时候,有时候会问这个问题,但相当多的一部分人并没有深入的考虑过怎么写好一个接口,包括接口的可靠性、安全性和高并发等等。


小编在项目开发过程中,与很多的企业对接过接口,包括一些小企业定制化的软件接口,也包括一些大厂形成规范的接口,比如支付宝、银联、微信,以及各大银行等等,相对来说,很多小厂的接口编写比较随意,而大厂对接口的定义就比较严谨,接下来我们就来分析一下。


0.png

1、api接口签名

有过开发经验的程序猿,一般都会注意到这个问题,为了接口的安全性,需要对参数进行签名,防止参数在请求过程中被篡改。就类似于你的一个好久没联系的朋友或者同学,通过微信或者QQ,给你发了条消息,向你借钱,有一部分人的第一反应是他是不是被盗号了?他是本人吗?所以我们建议通过视频或者电话再沟通核实一遍,这就是为了安全性防止财产的损失。


(1)为什么需要 API 接口签名?


对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄露的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点:


保证请求数据正确


当请求中的某一个字段的值变化时,原有的签名结果就会发生变化。所以,只要参数发生变化,签名就要发生变化,否则请求将会是一个无效的请求。


保证请求来源合法


一般情况下,生成签名的算法都会成对出现一个 appKey 和一个 appSecret,根据 appKey 能识别出调用者身份;根据 appSecret 能识别出签名是否合法。


这两个参数是非必须的,根据平台的商户定,比如如果平台没有商户的概念或者只有一个商户,像我们常见的自己的客户端对接自己的服务端。但是像一些提供接入能力的平台,比如微信,很多企业都可以接入,那他就需要区分不同的商户,每个商户分配一个appId,然后再通过appKey+appSecret来区分调用者的权限。


识别接口的时效性


一般情况下,签名和参数中会包含时间戳,这样服务端就可以验证客户端请求是否在有效时间内,从而避免接口被长时间地重复调用。


(2)签名实现逻辑


1.png

各家在签名时的请求参数可能有一点差别,但整体实现逻辑是类似的。


第一步:将除sign外的所有请求参数放入集合Map中;


第二步: 将第一步得到的集合M中的参数按照参数名ASCII码从小到大排序(字典序);


第三步:将第二步中排序后的key和与之对应的value拼接起来,使用URL键值对的格式(即key1=value1&key2=value2…)得到字符串 params;


第四步:在params的最后再拼接appKey密钥,然后通过某种加密算法或通过hash算法得到 sign 值(一般为Base64(HMAC_SHA1(params, appSecret)));


第五步:sign加到params 中,将params放入请求头中发送请求目标接口;


(3)签名实现代码


2.png

我们会常用到几个参数:


version:版本号


charset :字符编码


sign_type:签名类型,如RSA、RSA2、SHA


timestamp:当前时间戳,格式YYYYMMDDhhmmss,在服务端会验证比对请求方的时间与系统当前时间差,若超出太多,比如超过十分钟,就认为这个是过期的请求,不允许获取数据。


nonce_str:随机字符串,随机以主要保证签名不可预测。每次请求时都不一样。


2、加密算法

对于一些比较敏感的私人信息,接口传输过程最好进行加密传输,比如用户姓名、手机号、身份证号码等。如果需要明文保存,可以使用AES双向加密解密,如果直接保存加密的数据,可以使用md5加密。


(1)md5加密


MD5加密是一种不可逆的加密算法,不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。很多网站为了安全性,会额外再加一个盐值(一串随机字符串)一起进行加密,提高加密的安全性。MD5盐值加密作用就是为了防止MD5被暴力破解。通过盐值和密码进行组合计算得出MD5,在数据库中要同时存储该MD5码及盐值。在需要验证密码正确性时,可以将密码和数据库中对应账号密码的盐值组合计算出的MD5与数据库中的MD5进行比对。


3.png

另外一些网站号称可以对md5加密的密文进行解密,他们只是手机了足够多的密码信息,来进行匹配,反向推导出加密前的明文,实际上是无法真正的实现md5解密的。

(2)AES双向对称加解密

4.png

AES是一种分组密码 分组长度为128位(16字节),根据密钥长度可分为AES-128 AES-192和AES-256,密钥长度不同,AES的加密轮数也不同。

5.png

AES的工作模式分为ECB、CBC、CFB等


ECB是最简单和最早的模式,首先是密钥扩展,将加密的数据按照16字节的大小分成若干组,对每组都用同样的密钥加密。


CBC和ECB的区别就是添加了一个初始向量(16字节),在将密钥分成若干组之后,第一组与初始化向量异或之后再进行与ECB相同的加密流程,后面的每一组都与上一组的密文进行异或之后再与密钥加密。


6.png

3、编码解码

(1)为什么会出现乱码


在计算机中,不管是一段文字、一张图片还是一段视频,最终都是以二进制的方式来存储。也就是最终都会转化为 0001 1000 这样的格式。换句话说,计算机只认识 0 和 1 这样的数字,并不能直接存储字符。所以我们需要告诉它什么样的字符对应的是什么数字。但是如果用户A定义的编码规则,传到B使用了另外一套解码规则进行解码,由于编码和解码的规则对应不上就导致了乱码。


(2)怎么解决乱码


这就需要我们了解java中的编码转换。双方定义好编码方式,我们以utf8和gbk这两种常见的编码为例。


7.png


4、接口token鉴权

有一部分人会把token鉴权和接口加签搞混,我们来梳理一下这两种方式。


使用Sign签名,是为了对接口参数进行验证,我们在业务开发过程中与上下游系统进行接口对接时,常采用这种方式,那为什么不是token方式呢,因为我们不需要登录上下游系统,他们在拦截器层面已经放行了这些接口,不需要登陆后才给调用。而像我们管理平台上的接口,比如查询某个列表的数据,就不能直接调用接口,需要先登录系统才有调用接口的权限。


Token是用来判断用户身份的一个标识,身份验证通过了,才能调用接口,token也是一种加密方式,使用用户的信息进行加密,一般可以使用md5加密,我们来看以下token鉴权的过程。欢迎前往讨论


8.png

第一步:用户使用账号密码登录,向服务端发起http请求


第二步:服务端校验账号密码数据


第三步:验证成功后,服务端会生成一个token,并将这个token返回给客户端


第四步:客户端收到这token后将它放在cookie或者本地存储


第五步:客户端再次向服务器发起请求时带上token


第六步:服务端收到请求,然后验证客户端请求里面带着token来判断权限,如果验证成功,就向客户端返回请求的数据。


5、接口示例

以上分析了这么多,接下来我们就来看一下各大厂定义的接口规范,有哪些值得我们学习的。

银联:

9.png

微信:

10.png


支付宝(支付宝需要引入支付宝的sdk,支付宝sdk内部进行了封装):

11.png


招商银行:

12.png


相关文章
|
9天前
|
Java API Maven
如何使用Java开发抖音API接口?
在数字化时代,社交媒体平台如抖音成为生活的重要部分。本文详细介绍了如何用Java开发抖音API接口,从创建开发者账号、申请API权限、准备开发环境,到编写代码、测试运行及注意事项,全面覆盖了整个开发流程。
52 10
|
9天前
|
API 开发工具 数据库
开发一份API接口,需要注意这些,看你做到了几项
本文介绍了设计API接口时需注意的关键点,包括数字签名、敏感数据加密与脱敏、限流、参数校验、统一返回与异常处理、请求日志记录、幂等设计、数据量限制、异步处理、参数定义、完整文档及开发者对接SDK等内容,旨在帮助开发者设计出安全、稳定、易维护的API接口。
61 6
开发一份API接口,需要注意这些,看你做到了几项
|
17天前
|
JSON 安全 API
如何使用Python开发API接口?
在现代软件开发中,API(应用程序编程接口)用于不同软件组件之间的通信和数据交换,实现系统互操作性。Python因其简单易用和强大功能,成为开发API的热门选择。本文详细介绍了Python开发API的基础知识、优势、实现方式(如Flask和Django框架)、实战示例及注意事项,帮助读者掌握高效、安全的API开发技巧。
41 3
如何使用Python开发API接口?
|
6天前
|
缓存 前端开发 API
深入浅出:后端开发中的RESTful API设计原则
【10月更文挑战第43天】在数字化浪潮中,后端开发如同搭建梦想的脚手架,而RESTful API则是连接梦想与现实的桥梁。本文将带你领略API设计的哲学之美,探索如何通过简洁明了的设计,提升开发效率与用户体验。从资源定位到接口约束,从状态转换到性能优化,我们将一步步构建高效、易用、可维护的后端服务。无论你是初涉后端的新手,还是寻求进阶的开发者,这篇文章都将为你的开发之路提供指引。让我们一起走进RESTful API的世界,解锁后端开发的新篇章。
|
13天前
|
存储 SQL API
探索后端开发:构建高效API与数据库交互
【10月更文挑战第36天】在数字化时代,后端开发是连接用户界面和数据存储的桥梁。本文深入探讨如何设计高效的API以及如何实现API与数据库之间的无缝交互,确保数据的一致性和高性能。我们将从基础概念出发,逐步深入到实战技巧,为读者提供一个清晰的后端开发路线图。
|
12天前
|
JSON 前端开发 API
后端开发中的API设计与文档编写指南####
本文探讨了后端开发中API设计的重要性,并详细阐述了如何编写高效、可维护的API接口。通过实际案例分析,文章强调了清晰的API设计对于前后端分离项目的关键作用,以及良好的文档习惯如何促进团队协作和提升开发效率。 ####
|
10天前
|
JSON API 数据格式
如何使用Python开发1688商品详情API接口?
本文介绍了如何使用Python开发1688商品详情API接口,获取商品的标题、价格、销量和评价等详细信息。主要内容包括注册1688开放平台账号、安装必要Python模块、了解API接口、生成签名、编写Python代码、解析返回数据以及错误处理和日志记录。通过这些步骤,开发者可以轻松地集成1688商品数据到自己的应用中。
25 1
|
13天前
|
监控 搜索推荐 安全
探究亚马逊详情API接口:开发与应用
在数字化时代,亚马逊作为全球领先的电商平台,为商家和消费者提供了丰富的商品信息和便捷的购物体验。本文深入探讨了亚马逊详情API接口的获取与运用,帮助开发者和商家实时监控商品数据、分析市场趋势、优化价格策略、分析竞争对手、构建推荐系统及自动化营销工具,从而在竞争中占据优势。文章还提供了Python调用示例和注意事项,确保API使用的安全与高效。
41 3
|
17天前
|
缓存 监控 Java
如何运用JAVA开发API接口?
本文详细介绍了如何使用Java开发API接口,涵盖创建、实现、测试和部署接口的关键步骤。同时,讨论了接口的安全性设计和设计原则,帮助开发者构建高效、安全、易于维护的API接口。
44 4
|
16天前
|
XML JSON API
【PHP开发专栏】PHP RESTful API设计与开发
随着互联网技术的发展,前后端分离成为Web开发的主流模式。本文介绍RESTful API的基本概念、设计原则及在PHP中的实现方法。RESTful API是一种轻量级、无状态的接口设计风格,通过HTTP方法(GET、POST、PUT、DELETE)操作资源,使用JSON或XML格式传输数据。在PHP中,通过定义路由、创建控制器、处理HTTP请求和响应等步骤实现RESTful API,并强调了安全性的重要性。
22 2
下一篇
无影云桌面