81,094
社区成员
发帖
与我相关
我的任务
分享http接口签名必要性讨论
HTTP接口对于javaweb来讲普通的不能再普通了,尤其是现在前后端分离,完全是通过http接口进行数据交互,那么问题来了
前端调用后端的http接口怎样才能安全?
这个安全主要指中途防撰改(这个字忘记怎么读了),那么很多人立刻想到HTTPS和传输内容加签名。确实,这些都是主流的处理方案。
但是大家有没有想过,这两个选哪一个,或者是两个都选一起上?
HTTPS必须上,这个毋庸置疑,也无需分析讨论
但在有了https的基础上,还需要传输内容加签吗?
很多人觉得为了安全,肯定还是得要的 你看人家某宝某东某巴....又有https又有接口验签
也有很多人觉得https都做完了,内容加签再做也没用意义了 就像你们公司的大门上了锁,个人的小抽屉还需要上锁吗
我最近和公司的同事也因此事激烈的争论,差点打了起来。
朋友们,大神们,请留下您的观点,帮帮我指导迷津,谢谢
前端调用后端的http接口怎样才能安全?
这个安全主要指中途防撰改(这个字忘记怎么读了),那么很多人立刻想到HTTPS和传输内容加签名。确实,这些都是主流的处理方案。
但是大家有没有想过,这两个选哪一个,或者是两个都选一起上?
HTTPS必须上,这个毋庸置疑,也无需分析讨论
但在有了https的基础上,还需要传输内容加签吗?
很多人觉得为了安全,肯定还是得要的 你看人家某宝某东某巴....又有https又有接口验签
也有很多人觉得https都做完了,内容加签再做也没用意义了 就像你们公司的大门上了锁,个人的小抽屉还需要上锁吗
我最近和公司的同事也因此事激烈的争论,差点打了起来。
朋友们,大神们,请留下您的观点,帮帮我指导迷津,谢谢
...全文
请发表友善的回复…
发表回复
wan7891314 2022-06-01
- 打赏
- 举报
其实是两个方向上的问题。
1.https是传输过程中加密.
2.验签是保证数据一致性安全问题,减少了数据被伪造的风险。
oO临时工Oo 2020-09-30
- 打赏
- 举报
在关键交易时,还是需要的。
先看下图,这个是百度网站的证书。这个证书说明,只能证明你的计算机与百度的计算机是相互信任的,注意是你的计算机,而不是你的浏览器,或者你浏览器中的当前页面
那么问题就来了,如果你的计算机中了病毒,或者浏览器有木马外挂,那么这些木马就可能伪造请求发给服务器,而服务器是不知道的。
引用了“内容加签”(实际一般只会对Request的关键参数加签),这样每次请求的签名不一样,如果服务器再做了“防重放攻击”,那么每次HTTP请求的签名都不一样,就大大增加了伪造的难度(就算成功伪造一次,也不见得是木马想要的目的)。
那么问题就来了,如果你的计算机中了病毒,或者浏览器有木马外挂,那么这些木马就可能伪造请求发给服务器,而服务器是不知道的。
引用了“内容加签”(实际一般只会对Request的关键参数加签),这样每次请求的签名不一样,如果服务器再做了“防重放攻击”,那么每次HTTP请求的签名都不一样,就大大增加了伪造的难度(就算成功伪造一次,也不见得是木马想要的目的)。qq_39936465 2020-09-29
- 打赏
- 举报
肯定2个都需要,一个是保证数据安全性,一个是保证数据准确性。
廾匸随笔 2020-09-29
- 打赏
- 举报
这俩又不是你死活我,一起加没啥好纠结的,难不成还会有人嫌自己系统太安全?
KeepSayingNo 2020-09-28
- 打赏
- 举报
我觉得是在https基础上还要验签。https只是从协议层面保证了网络交互的安全性,验签是从业务的角度思考保证安全性。
tianfang 2020-09-28
- 打赏
- 举报
多用户的上传数据接口有必要,服务器可认证提交者身份
服务器下行数据接口意义不大,因为仿冒难度大
qybao 2020-09-28
- 打赏
- 举报
如果要确保传输内容没有篡改,那还是需要加签名。htpps只是传输上加密,只要数据符合加密形式(用公钥随便加密一段数据)就能传输解密接收,并不保证数据内容没有篡改(也就是不保证你接收的内容是不是原来的内容)。所以要自己保证,就要自己加签名,验证签名。
... 在完成上述功能后,我们会带领大家将我们实现的基于接口签名认证的用户认证与接口认证逻辑封装成Laravel扩展包,从而使得我们的代码与Laravel核心框架解耦,以保证功能上的独立性和可复用性。
