久久精品国产亚洲高清|精品日韩中文乱码在线|亚洲va中文字幕无码久|伊人久久综合狼伊人久久|亚洲不卡av不卡一区二区|精品久久久久久久蜜臀AV|国产精品19久久久久久不卡|国产男女猛烈视频在线观看麻豆

    1. <style id="76ofp"></style>

      <style id="76ofp"></style>
      <rt id="76ofp"></rt>
      <form id="76ofp"><optgroup id="76ofp"></optgroup></form>
      1. 千鋒教育-做有情懷、有良心、有品質的職業(yè)教育機構

        手機站
        千鋒教育

        千鋒學習站 | 隨時隨地免費學

        千鋒教育

        掃一掃進入千鋒手機站

        領取全套視頻
        千鋒教育

        關注千鋒學習站小程序
        隨時隨地免費學習課程

        當前位置:首頁  >  技術干貨  > 前端必知:接口安全你了解多少?

        前端必知:接口安全你了解多少?

        來源:千鋒教育
        發(fā)布人:syq
        時間: 2022-07-14 16:02:00 1657785720

          前后端分離式開發(fā)需要進行數(shù)據(jù)交互,傳輸?shù)臄?shù)據(jù)被偷窺、被抓包、被偽造時有發(fā)生,那么如何設計一套比較安全的API接口方案呢?

          并不是所有的接口都需要考慮安全的,有些接口是公開的,任何人只要知道地址都可以調用,對于一些項目中需要用戶登錄才能訪問的接口才需要考慮安全問題。

          一般解決的方案有以下幾類:

          token令牌認證(jwt)

          AK(app key)&SK(secret key)【用戶名&密碼】

          時間戳超時驗證+簽名算法字符串

          URL簽名(算法,非對稱算法)

          數(shù)據(jù)脫敏(防范數(shù)據(jù)庫數(shù)據(jù)泄露)

          HTTPS

          IP黑/白名單(服務器層面的限制,apache、nginx)

          oAuth2.0

          關于JWT:

          Json web token(JWT),是基于token的鑒權機制,類似于http協(xié)議也是無狀態(tài)的,它不需要在服務端去保留用戶的認證信息或者會話信息,為應用的擴展提供了便利。JWT具備以下幾個優(yōu)點:

          因json的通用性,所以JWT是可以進行跨語言

          JWT可以在自身存儲一些其他業(yè)務邏輯所必要的非敏感信息

          便于傳輸,jwt的構成非常簡單,字節(jié)占用很小,所以它是非常便于傳輸?shù)?/p>

          它不需要在服務端保存會話信息,所以它非常適合應用在前后端分離的項目上

          使用JWT進行鑒權的工作流程如下(重點):

          用戶使用用戶名密碼來請求服務器

          服務器進行驗證用戶的信息(查數(shù)據(jù)庫)

          服務器通過驗證發(fā)送給用戶一個token(令牌)

          客戶端存儲token(Vuex+localStorage),并在每次請求時附送上這個token值

          服務端驗證token值,并返回數(shù)據(jù)

        11

          JWT是由三段信息構成的(頭部、載荷、簽名),將這三部分使用.連接在一起就組成了JWT字符串,形如:

        22

          其中:

          · 頭部(header),包含了兩(可以更多)部分信息,分別是類型的聲明和所使用的加密算法。

          一個完整的頭部就像下面的JSON:

        {

          'typ': 'JWT',

          'alg': 'HS256'

        }

          然后將頭部進行base64加密/編碼(該加密是可以對稱解密的),這就得到了jwt的第一部分。

          · 載荷(payload)(body),載荷就是存放有效信息的地方。這些有效信息包含三個部分

          o 標準中約定聲明(建議但不強制)

          § 簽發(fā)人

          § 使用者

          § 簽發(fā)時間

          § 有效期

          § ....

          o 公共的聲明

          o 私有的聲明

          定義一個payload:

        {

          "sub": "1234567890",

          "name": "John Doe",

          "admin": true

        }

          依舊進行base64加密,這就得到了jwt的第二部分。

          · 簽名(signature),這個簽證信息由三部分組成:

        經(jīng)過base64編碼后的

        § header

        § payload

        secret

          例如:

        var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

        var signature = HMACSHA256(encodedString, 'secret');

          這樣就得到了jwt的第三部分。

        var jwt = encodedString + '.' + base64UrlEncode(signature);

          最終將三部分信息通過.進行連接就得到了最終的jwt字符串。后續(xù)不需要自己去寫jwt怎么生成的。因此,此流程理解即可。

          需要注意的是

          · secret是保存在服務器端的

          · jwt的簽發(fā)生成也是在服務器端的

          · secret是用來進行jwt的簽發(fā)和jwt的驗證

          所以,secret它就是服務端的私鑰,在任何場景都不應該泄露出去。一旦其他人(包括客戶端的用戶)得知這個secret,那就意味著他們可以自我簽發(fā)jwt,接口就沒有安全性可言了。

          更多關于“前端培訓”的問題,歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學,課程大綱緊跟企業(yè)需求,更科學更嚴謹,每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎還是想提升,都可以找到適合的班型,千鋒教育隨時歡迎你來試聽。

        tags:
        聲明:本站稿件版權均屬千鋒教育所有,未經(jīng)許可不得擅自轉載。
        10年以上業(yè)內強師集結,手把手帶你蛻變精英
        請您保持通訊暢通,專屬學習老師24小時內將與您1V1溝通
        免費領取
        今日已有369人領取成功
        劉同學 138****2860 剛剛成功領取
        王同學 131****2015 剛剛成功領取
        張同學 133****4652 剛剛成功領取
        李同學 135****8607 剛剛成功領取
        楊同學 132****5667 剛剛成功領取
        岳同學 134****6652 剛剛成功領取
        梁同學 157****2950 剛剛成功領取
        劉同學 189****1015 剛剛成功領取
        張同學 155****4678 剛剛成功領取
        鄒同學 139****2907 剛剛成功領取
        董同學 138****2867 剛剛成功領取
        周同學 136****3602 剛剛成功領取
        相關推薦HOT
        古浪县| 牟定县| 南雄市| 贵溪市| 龙口市| 建德市| 富阳市| 黔东| 惠州市| 宜兰市| 临桂县| 岳普湖县| 德保县| 平舆县| 汉中市| 碌曲县| 边坝县| 宜都市| 保德县| 仙居县| 平阴县| 长葛市| 克什克腾旗| 建宁县| 衡山县| 祁东县| 醴陵市| 海安县| 石嘴山市| 舞阳县| 罗田县| 长沙市| 林口县| 和林格尔县| 汾西县| 东安县| 根河市| 色达县| 博罗县| 青田县| 安国市|