最後更新:
Click to expand / collapse
API集成不僅需要訪問控制,還需要確保每個請求的真實性和完整性。為此,我們支持HMAC簽名(基於Hash的消息認證代碼)以及查詢主體和參數的加密,即使在通過開放網絡傳輸時也能提供數據保護。
使用HMAC,每個方面(客戶端和服務器)都確認請求是由授權方創建的,沒有沿途更改,並且具有加密的內容。
實現的內容
| 二.機制 | 目的和好處 |
|---|---|
| HMAC簽名 | 使用密鑰簽名每個請求 |
| 完整性控制 | 在傳輸過程中檢查內容是否未更改 |
| 請求主體加密 | 使用AES或RSA保護敏感數據 |
| 標題timestamp's | 防止重復和延遲攻擊(replay attack) |
| 查詢參數簽名 | 通過哈希函數驗證查詢字符串和計費 |
它是如何工作的?
1.客戶端生成請求主體並添加timestamp
2.由HMAC(例如SHA256)根據秘密和內容計算
3.標題添加到標題(例如「X-Signature」)
4.服務器檢查簽名、時間戳和有效的IP
5.如果簽名匹配-請求正在執行,否則將拒絕
API集成的優勢
防止請求被替換或失真
能夠在沒有TLS的情況下進行安全交互(在封閉的網絡中)
提高對數據鏈路的信心
獨立於特定平臺或語言
針對不同類型的客戶靈活實現: 收銀機、網關、提供商
在哪裏,特別重要
與支付、現金或財政系統的集成
在多協議或合作夥伴環境中運行的API
查詢驗證要求較高的系統
內部服務之間的交互,無需永久授權