這些常見的API安全問題及解決辦法你都懂了嗎?
一,如何保證網關到後端伺服器的調用安全?
可以在API網關配置安全密鑰,也可使用HTTPS對請求進行加密。
使用安全密鑰:可以單獨為每個API設置密鑰,當設置密鑰以後,網關會對請求按網關既定方法簽名。這時候需要以同樣的方式對簽名進行驗證,以保證請求真實、有效。然後,使用HTTPS加密,使用HTTPS前,需要確保自己有相應的SSL證書。
二,更換後端密鑰是否需要發布API?
不需要。只需要在控制台創建自己的新密鑰,然後綁定API就可以。
三,怎麼樣不中斷服務更換後端密鑰?
想要不中斷升級密鑰,第一點一定要保證不止一台伺服器在支撐後端服務,然後按如下步驟操作:首先,升級後端服務,兼容新舊兩個key。其次,在網關中修改後端密鑰。最後,調整後端服務,去除對舊key的支持。
四,怎樣給指定的人開放API?
API網關有提供訪問許可權控制的功能,可以在控制台為每個API配置訪問許可權。
五,如何有效防止API的重放攻擊?
API重放攻擊又稱重播攻擊、回放攻擊,這種攻擊會不斷惡意或欺詐性地重複一個有效的API請求。攻擊者利用網路監聽或者其他方式盜取API請求,進行一定的處理後,再把它重新發給認證伺服器,是黑客常用的攻擊方式之一。
那麼HTTPS數據加密是否可以防止重放攻擊?否,加密可以有效防止明文數據被監聽,但是卻防止不了重放攻擊。使用簽名防止重放攻擊呢?使用簽名之後,可以對請求的身份進行驗證,但攻擊者截獲請求後,不對請求進行任何調整。直接使用截獲的內容重新高頻率發送請求。
所以要用到API網關,它可以提供一套有效防止重放攻擊的方法。開啟API網關的放重放,一般需要使用特定的認證方式,通過這種認證方式,每個請求只能被使用一次,從而防止重放。
注意:【賽合一數據】會不定期更新關於API介面開發的問題和解決辦法,因為據說有人會需要。但是但是小編很無奈啊,作為一個位列全國前三甲的第三方API開發平台,【賽合一數據】業務太多,技術人員太忙,今天就只能先放5個,希望能給大家帶來幫助吧,如果有不同意見可以留言哈,別忘了給小編加雞腿。
TAG:賽合一數據 |