开发者社区> 问答> 正文

APP后端服务架构,接口安全

关于APP的后端服务器,接口安全应该具有哪些方面的考虑。 架构需要有哪些方面的考量 创业项目预备20人开发团队。JAVA后端。电商项目。 其实已有一些参考。但纯属我个人想知道大家是怎么做的

展开
收起
杨冬芳 2016-06-23 17:47:04 2935 0
1 条回答
写回答
取消 提交回答
  • IT从业

    说说自己知道的:1、简单加密传输 3、签名证书 4、摘要认证+随机数 5、HTTPS (使用token)
    其实如果你最终要的效果是不想接口直接暴露,但是又能用restful服务的话,那可以用node做中间层,似乎目前这里的回答都不能解决直接请求暴露的问题
    可以说的是 现在一般支付宝的接口都是HTTPS 然后签名证书
    1.原文+token (这样防止最后提交的密文被别人拿来重复刷)服务端将token放入缓存中,服务端如果有则表示重复提交

    1. 报文加密的原理参考https的原理
      3.几个关键的数据

    RSA公私钥,公钥在客户端 私钥在服务端
    AES key 和 nouce 用于加密
    hmac key 用于签名
    4.客户端加密步骤
    (1)随机生成aes key和 nouce
    (2)随机生成hmac key
    (3)用ras公钥对aeskey 进行加密然后进行base64编码
    (4)用ras公钥对hmac key 进行加密然后进行base64编码
    (5)nouce直接base64编码
    (6)用aeskey + nouce 对原文加密 然后进行base64编码
    (7)用hmac key 对 aes加密后的数据做hmac签名
    最后 (3)(4)(5)(6) (7)用|拼接

    1. 服务端解密 步骤相反就可以了 然后用同样的hmac 去签名 签出来的结果一致就可以了
    2019-07-17 19:46:36
    赞同 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
MaxCompute架构升级及开放性解读 立即下载
MaxCompute Serverless 架构演进 立即下载
阿里云消息队列的 Serverless架构演进 立即下载