一个Restful Api的访问控制方法
2020-12-02 08:31
标签:http 使用 os 数据 问题 re 最近在做的两个项目,都需要使用Restful Api,接口的安全性和访问控制便成为一个问题,看了一下别家的API访问控制办法。 新浪的API访问控制使用的是AccessToken,有两种方式来使用该AccessToken: 1、API请求 URL 的后面加上一个AccessToken 2、Http头里面加一个字段AccessToken=xxx 这种AccessToken是写死在程序里面的,在每次请求的时候附带上,对于这种AccessToekn新浪那边有过期时间,过期之后就无法再使用了。 很明显这种方式是不安全的,一旦别人获取到这个AccessToekn 就可以伪装身份使用该API,这个访问控制就形同虚设了。但是新浪也知道这一点,所以利用这种方式使用的接口都是较为基础的接口,高级一点的接口需要使用Oauth 2.0进行二次认证的访问控制。 在我的项目中,没有像新浪微博账号这种的用户管理系统,做OAtuth认证不太合适,通过参考网上大神的资料,大致想了下面这种访问控制的办法。 1、为每个应用颁发一个账号(user)和密码(password),相当于(公钥和私钥)。 2、服务器后台存储该账号和密码(密文存储 MD5加密) 3、应用端在通过HTTP请求该接口的时候,需要在HTTP HEADER 附带下面几个字段 一个Restful Api的访问控制方法,搜素材,soscw.com 一个Restful Api的访问控制方法 标签:http 使用 os 数据 问题 re 原文地址:http://blog.csdn.net/bob_dadoudou/article/details/24718653
文章标题:一个Restful Api的访问控制方法
文章链接:http://soscw.com/index.php/essay/23221.html