Web API接口如何防止本网站/APP以外的调用
:要有验证机制(权限控制)
:权限/流程控制/校验要在服务器端做
- :你无法保证客户端合法,但必须保证流程合法。
对于网页一般用OAuth 2.0
对于App, 一般用 Authorization Code flow
随着信息化进程的加快,现在的网站和APP应用很常见,对于普通用户而言我们只能看到表现层(界面视图层),而内部的的数据交互及处理靠的是一个个API来实现的。所谓的API是指应用程序接口,也就是将特定的业务功能封装起来供第三方调用,现在的API有很多种形式,而Web API是最常见和便捷的。
既然API是提供给第三方调用的,这就存在一个问题:很多时候我们希望API只能由自家的产品去调用,防止他人调用,这该如何实现呢?这就得靠接口鉴权了。
什么是接口(API)鉴权?
正如上面所说,如果把API接口直接暴露在互联网上是存在安全风险的,所以我们需要对API进行权限划分,对接口调用方做一个用户鉴权,如果鉴权通过则允许此用户进行API调用,反之则拒绝。
根据不同的业务场景,接口鉴权方案也有很多种,下面详细给大家介绍。
Cookie + Session机制实现Web API的鉴权
这种机制是最为传统的,特别是在网站中的登录模块靠的就是Cookie+Session来实现会话管理的。
1、实现原理
后台为了标识请求是哪个客户端发现的,会在服务端生成一个Session来保存会话状态,各个Session是靠具有唯一性的SessionID来标识的,SessionID存储在客户端的Cookie中;后续所有请求都会把Cookie传到服务器端,服务器端解析Cookie后找到对应的Session进行判断。
2、>长处/p>
技术实现方便。
3、缺点>毛病/p>
不适合分布式应用,跨平台性差
Cookie传输会影响通信性能
HTTP协议本身是无状态的,而Cookie+Session机制硬生生的给加了状态进去,不符合设计理念
存在安全风险:因为Cookie是存储在客户端的,客户端可以随意更改Cookie,存在伪造请求的风险
Token机制实现Web API的鉴权
Token(令牌)是用来替代Session的新兴鉴权方案,现在的Web API基本上离不开Token令牌。
1、实现原理
Token是服务器端生成的一串加密串发放给客户端,客户端请求服务器端所有资源时会带上这个Token(通过GET/POST/Header来传递),由服务器端来校验这个Token的合法性。
2、>长处/p>
真正的无状态,适合分布式,扩展性好
性能高,安全性好
3、Token的实现>情势/p>
Token令牌技术是一种技术方案统称,具体的实现方案是有所差别的,最常见的Token种类有以下几种:
自定义实现Token:应用开发者根据Token机制原理自行实现
JWT:Json Web Token,是一种主流的Token规范
Oauth:Oauth本质上是授权规范,其中也用到了Token
HTTP Basic Authentication认证机制
Web API是基于HTTP协议的,而HTTP协议本身就带有认证机制。
HTTP协议的认证机制主要有两种:
基本认证
摘要认证
但是这种机制日常很少使用,因为HTTP协议在传输数据过程中是明文传输的,所以这种认证机制本身就存在安全风险,除非配合HTTPS来实现。
以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
为什么要分web端和app接口
web项目,一般都是b/s架构,基于浏览器的,而app则是c/s的,必须要有客户端。那么在系统测试测试的时候就会产生区别了。
首先从系统架构来看的话,web测试只要更新了服务器端,客户端就会同步会更新。而且客户端是可以保证每一个用户的客户端完全一致的。但是app端是不能够保证完全一致的,除非用户更新客户端。如果是app下修改了服务端,意味着客户端用户所使用的核心版本都需要进行回归测试一遍。
1.从功能测试的来讲的话,在流程和功能测试上是没有区别的。系统测试和一些细节可能会不一样。
2.性能方面,web页面可能只会关注响应时间,而app则还需要关心流量、电量、CPU、GPU、Memory这些了。
3.兼容方面,web是基于浏览器的,所以更倾向于浏览器和电脑硬件,电脑系统的方向的兼容,不过一般还是以浏览器的为主。而浏览器的兼容则是一般是选择不同的浏览器内核进行测试(IE、chrome、Firefox)。app的测试则必须依赖phone或者是pad,不仅要看分辨率,屏幕尺寸,还要看设备系统。系统总的来说也就分为Android和iOS,不过国内的Android的定制系统太多,也是比较容易出现问题的。
4.相比较web测试,app更是多了一些专项测试:
