Colección de citas famosas - Colección de máximas - ¿Qué es una firma? ¿Cómo garantizar la seguridad de la interfaz API y los datos entre el servidor y la aplicación?

¿Qué es una firma? ¿Cómo garantizar la seguridad de la interfaz API y los datos entre el servidor y la aplicación?

¿Qué es una firma? ¿Cómo garantizar la seguridad de la interfaz API y los datos entre el servidor y la aplicación?

aesstoken es un método. Al principio, los métodos más simples incluían appid y appkey. Para los más complejos, se puede utilizar el cifrado RSA.

La mayoría de los servidores y aplicaciones se llaman directamente a través de interfaces, como listas de usuarios. /user/list/

Publicar en /user/list/, que contiene un token cifrado. Esto se utiliza para verificar si es un visitante legítimo. Y ahora existen muchas plataformas de desarrollo como WeChat.

La firma del apk equivale al código de identificación del programa.

Después de usar la firma apk para compilar y empaquetar el programa, el teléfono primero verificará si la firma del programa (puede verse como similar al md5 que solemos decir en las computadoras) es legal antes de ejecutarlo. el programa solo aquellos que pasan la verificación El archivo se ejecutará solo después de que se ejecute el archivo, por lo que la función del software de firma es hacer que el archivo sea legal mediante la verificación por parte del teléfono móvil. Diferentes teléfonos móviles y sistemas corresponden a diferentes firmas. .

Realice una comunicación cifrada para evitar llamadas externas a la API

El servidor y el cliente almacenarán cada uno un TOKEN. Este TOKEN es un archivo escrito en lenguaje C para evitar la descompilación, el empaquetado y la ofuscación. hecho.

Cuando el cliente accede a cualquier interfaz de la API del servidor, el cliente necesita traer un campo especial. Este campo es la firma. La firma se genera de la siguiente manera:

La. La marca de tiempo del nombre de la interfaz accedida cifra el TOKEN para realizar MD5 general, y el cliente envía la marca de tiempo local al servidor como un argumento de texto sin formato.

El servidor primero verificará estos dos argumentos: verificar la marca de tiempo, si la hora Si el error excede más o menos un minuto, el servidor denegará el acceso (para evitar que los paquetes capturados soliciten repetidamente al servidor. Más o menos un minuto es para evitar errores de tiempo y el argumento se puede ajustar

Luego, el servidor generará una firma de acuerdo con MD5 de acuerdo con la dirección API solicitada y la marca de tiempo enviada, más el token almacenado localmente, y las firmas se compararán. Solo cuando las firmas sean consistentes, el servidor pasará la verificación e ingresará la. Siguiente paso de la lógica API para alquilar el servidor. ¿Se puede garantizar la seguridad de los datos con la base de datos?

Los servidores utilizados están alojados en la sala de ordenadores. Si la velocidad de su red es de 10 M, entonces si la velocidad es tan alta. , puede mapear su propia arquitectura IP. La seguridad de los datos del servidor, ya sea su propia estructura o un servidor alquilado (UNIX SEVER), puede utilizar la herramienta de copia de seguridad incorporada para realizar una reversión periódica. se puede realizar una copia de seguridad automáticamente una vez al día

El sistema de servidor de A. B es Ubuntu, A es la interfaz API y la base de datos, B

Dos métodos: uno: crear una interfaz en A , proporciona a B todas las operaciones relacionadas con los datos utilizadas en el programa B. Todas se envían a A en forma de acceso API y se devolverán después de que A las haya procesado. Si usa file_get_contents directamente en el código de lenguaje PHP para conectarse directamente a la interfaz. en A, puede obtener los datos en A. La interfaz en A debe tener algunas clases de operación. Recibir argumentos y devolver A y B. El sistema del servidor es Ubuntu A es la interfaz API y la base de datos. de comunicación entre servidores internos

Se puede utilizar como intranet

La IP que solemos asignar al servidor del ordenador se conoce comúnmente como IP de red externa, que es una IP que necesita estar abierto a los usuarios.

La IP de la intranet es todo lo contrario. Si una máquina está configurada con una IP de intranet, los usuarios externos no pueden acceder a la IP de la intranet. Deben conectarse a la IP de la intranet únicamente a través de otras máquinas. La IP de la red se puede conectar.

Pongamos el ejemplo más sencillo.

Actualmente, en la sala de ordenadores de Jiangsu Telecom, dos máquinas forman una red interna (A y B), y cada máquina está configurada con una IP interna y una IP externa.

La IP de la red externa se utiliza para el inicio de sesión remoto desde nuestra computadora local, y también es la IP a la que los usuarios del sitio web deben resolver.

La IP de la intranet se usa generalmente de esta manera. Los usuarios interactivos no quieren comunicarse ni transmitir datos a través de la IP externa de las dos máquinas. Eso no es seguro. Las visitas mutuas y la transmisión de datos son más seguras para los datos. ¿Cómo garantizar la seguridad de los datos al alquilar un servidor?

Por supuesto, no hay forma de mirar las cosas como quieras y utilizarlas como quieras. De hecho, considerando el impacto comercial y la dificultad de utilización, la gente es demasiado vaga para tocar cosas que no son muy importantes. ¿Cómo carga git la interfaz API al servidor sae?

Después de escribir el código del programa, envíe el código del programa a sae a través de git. Cabe señalar que en el mar, el nombre de la sucursal debe ser un número, como por ejemplo:

1

git push origin: 1

En otras palabras , debe configurar Establecer el nombre de la sucursal remota como un número. ¿Cómo garantiza SQL Server la seguridad de los datos?

Para plataformas a gran escala como QQ o China Mobile Fetion, el cliente no tiene permiso para conectarse directamente a la base de datos. Todos los servicios y funciones se cortan horizontalmente y WEBSERVICE proporciona una interfaz para aceptar varios. Los datos pasados ​​por el cliente son luego procesados ​​por el servidor de puerta de enlace y pasados ​​al servidor de base de datos de la intranet para su operación. En cuanto a la base de datos subyacente, no importa en absoluto. Es una combinación de varias bases de datos. Por ejemplo, el servidor de base de datos principal de China Mobile es SQL SERVER 2005, pero algunos servidores comerciales combinan algo de MYSQL y una base de datos más liviana. motor. Cómo garantizar la seguridad en la interfaz de API de descanso. Agregue una interfaz de autenticación. Si se pasa la autenticación, se devolverá un valor de token.

Verifique el valor del token en la interfaz de API de descanso. -Se permitirá la pregunta. De lo contrario, se denegará el acceso.

上篇: ¿Es difícil ser traductor de nivel 3 en el Departamento de Recursos Humanos? ¿Cuándo se realizará el examen? ¿Dónde registrarse? 下篇: ¿Hay algún poema de Elizabeth Barrett Browning?