api接口数据加密

① 如何设计API接口，请求接口时需要进行身份验证，防止第三方随意调用接口

1. 设定一个密钥比如key = ‘2323dsfadfewrasa3434'。
2. 这个key 只有发送方和接收方知道。
3. 调用时，发送方，组合各个参数用密钥 key按照一定的规则(各种排序，MD5，ip等)生成一个access_key。一起post提交到API接口。
4. 接收方拿到post过来的参数以及这个access_key。也和发送一样，用密钥key 对各个参数进行一样的规则(各种排序，MD5，ip等)也生成一个access_key2。
5. 对比access_key 和access_key2 。一样。则允许操作，不一样，报错返回或者加入黑名单。

② java rest api接口 怎么保证安全性

尝试这样加密：

客户端：
1、设置一个key（和服务器端相同）
2、根据上述key对请求进行某种加密（加密必须是可逆的，以便服务器端解密）
3、发送请求给服务器

服务器端：
1、设置一个key
2、根据上述的key对请求进行解密（校验成功就是“信任”的客户端发来的数据，否则拒绝响应）
3、处理业务逻辑并产生结果
4、将结果反馈给客户端

③ APP中api加密和服务端解密一般是怎么做

一般是用户登录成功后，服务器返回给客户端一个token值（自己定义规则生成一个唯一的识别码）比如abcdefg1234567一串字符32位左右。
每次客户端请求api接口时，都带上这个token值，服务器端根据算法生成token值和客户端传过来的进行比较，校验成功才可以去处理逻辑。否则认为是非法请求。

④ 提供Restful API的时候如何确保接口的安全性

确保安全性可以从三个方面去做：
对客户端做身份认证
对敏感的数据做加密，并且防止篡改
身份认证之后的授权

现在比较流行的是使用OAuth协议做身份认证

⑤ 什么是签名服务器和APP之间的API接口和数据怎么保证安全

accesstoken是一种方式，早期简单点的有appid，appkey方式，复杂一点的可以使用RSA加密。
服务器和APP直接大部分通过接口调用，比如用户列表。/user/list/
post到/user/list/里面有加密的一个token这个是验证是不是一个合法的访问者。而且现在很多开发平台比如微信。

⑥ API接口采用HTTPS后，此时API返回的JSON是经过HTTPS加密了的吗

你这个问题，实质就是如何解析返回的JSON数据的问题。
具体如何解析，还要根据你的实际情况，比如你是否用了JQ？如果有，JQ有提供的解析方法。
没有用JQ，也有不同的方法，比如用字串函数（或辅以正则表达式）去提取信息，或者EVAL成JSON对象，或者引入专门的JSON解析JS脚本。
根据你自己的情况，判断一下想采取哪种方式，然后把问题细化成关键点再搜索一下相关具体方法就行了。
当然，最好也别忘了去看看你所用的API有没有提供配套的解析方法，如果有，最好使用配套方法，既方便又避免可能某些地方不兼容。

⑦ 什么是签名服务器和APP之间的API接口和数据怎么保证安全

apk签名相当于程序的身份识别代码。
apk签名用于程序编译打包之后，手机在运行程序之前会先去验证程序的签名（可以看作类似于我们电脑上常说的md5）是否合法，只有通过了验证的文件才会被运行，所以签名软件的作用的让文件通过手机的验证为合法，不同的手机、系统是对应不同的签名的。

进行加密通讯防止API外部调用
服务器端与客户端各自会存储一个TOKEN,这个TOKEN我们为了防止反编译是用C语言来写的一个文件并做了加壳和混淆处理。
在客户端访问服务器API任何一个接口的时候，客户端需要带上一个特殊字段，这个字段就是签名signature，签名的生成方式为：
访问的接口名+时间戳+加密TOKEN 进行整体MD5,并且客户端将本地的时间戳作为明文参数提交到服务器
服务器首先会验证这两个参数：验证时间戳，如果时间误差与服务器超过正负一分钟，服务器会拒绝访问(防止被抓包重复请求服务器，正负一分钟是防止时间误差，参数可调整)，
然后服务器会根据请求的API地址和提交过来的时间戳再加上本地存储的token按照MD5重新生成一个签名，并比对签名，签名一致才会通过服务器的验证，进入到下一步的API逻辑

⑧ 在云计算中虽然api接口传输采用https进行加密传输但部分接口仍存在的风险是

可以将所有传输协议都采用HTTPS加密协议传输就可以了，没有用的端口封掉就可以了。

⑨ 开放的API接口的安全性问题

其实我有个比较简单的方法。
APP调用后台接口的时候，把登陆APP的用户名和密码拼接到参数串里，用RSA公钥对参数串加密并传递给后台。后台接口在得到此参数后，用私钥解密并与数据库中的用户名密码进行比对，如果符合则说明是正常访问。
你觉得这样可行吗？

⑩ 如何写出安全的API接口

1.完全开放的接口
有没有这样的接口，谁都可以调用，谁都可以访问，不受时间空间限制，只要能连上互联网就能调用，毫无安全可言。
实话说，这样的接口我们天天都在接触，你查快递，你查天气预报，你查飞机，火车班次等，这些都是有公共的接口。
我把这称之为裸奔时代。代码如下：
/// <summary>
/// 接口对外公开
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("NoSecure")]
public HttpResponseMessage NoSecure(int age)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
2.接口参数加密（基础加密）
你写个接口，你只想让特定的调用方使用，你把这些调用的人叫到一个小屋子，给他们宣布说我这里有个接口只打算给你们用，我给你们每人一把钥匙，你们用的时候拿着这把钥匙即可。
这把钥匙就是我上文说到的参数加密规则，有了这个规则就能调用。
这有安全问题啊，这里面的某个成员如果哪个不小心丢了钥匙或者被人窃取，掌握钥匙的人是不是也可以来掉用接口了呢？而且他可以复制很多钥匙给不明不白的人用。
相当于有人拿到了你的请求链接，如果业务没有对链接唯一性做判断（实际上业务逻辑通常不会把每次请求的加密签名记录下来，所以不会做唯一性判断），就会被重复调用，有一定安全漏洞，怎么破？先看这个场景的代码，然后继续往下看！
/// <summary>
/// 接口加密
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign")]
public HttpResponseMessage SecureBySign([FromUri]int age, long _timestamp, string appKey, string _sign)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 校验签名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "签名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
3.接口参数加密+接口时效性验证（一般达到这个级别已经非常安全了）
继上一步，你发现有不明不白的人调用你的接口，你很不爽，随即把真正需要调用接口的人又叫来，告诉他们每天给他们换一把钥匙。和往常一样，有个别伙伴的钥匙被小偷偷走了，小偷煞费苦心，经过数天的踩点观察，准备在一个月黑风高的夜晚动手。拿出钥匙，捣鼓了半天也无法开启你的神圣之门，因为小偷不知道你天天都在换新钥匙。
小偷不服，经过一段时间琢磨，小偷发现了你们换钥匙的规律。在一次获得钥匙之后，不加思索，当天就动手了，因为他知道他手里的钥匙在第二天你更换钥匙后就失效了。
结果，小偷如愿。怎么破？先看这个场景的代码，然后继续往下看！
/// <summary>
/// 接口加密并根据时间戳判断有效性
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign/Expired")]
public HttpResponseMessage SecureBySign_Expired([FromUri]int age, long _timestamp, string appKey, string _sign)
{
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 判断请求是否过期---假设过期时间是20秒
DateTime requestTime = GetDateTimeByTicks(_timestamp);
if (requestTime.AddSeconds(20) < DateTime.Now)
{
result.ReturnCode = -1;
result.Message = "接口过期";
return GetHttpResponseMessage(result);
}
#endregion
#region 校验签名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "签名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}
4.接口参数加密+时效性验证+私钥（达到这个级别安全性固若金汤）
继上一步，你发现道高一尺魔高一丈，仍然有偷盗事情发生。咋办呢？你打算下血本，给每个人配一把钥匙的基础上，再给每个人发个暗号，即使钥匙被小偷弄去了，小偷没有暗号，任然无法如愿，而且这样很容易定位是谁的暗号泄漏问题，找到问题根源，只需要给当前这个人换下钥匙就行了，不用大动干戈。
但这个并不是万无一失的，因为钥匙毕竟还有可能被小偷搞到。代码如下：
/// <summary>
/// 接口加密并根据时间戳判断有效性而且带着私有key校验
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("SecureBySign/Expired/KeySecret")]
public HttpResponseMessage SecureBySign_Expired_KeySecret([FromUri]int age, long _timestamp, string appKey, string _sign)
{
//key集合，这里随便弄两个测试数据
//如果调用方比较多，需要审核授权，根据一定的规则生成key把这些数据存放在数据库中，如果功能扩展开来，可以针对不同的调用方做不同的功能权限管理
//在调用接口时动态从库里取，每个调用方在调用时带上他的key，调用方一般把自己的key放到网站配置中
Dictionary<string, string> keySecretDic = new Dictionary<string, string>();
keySecretDic.Add("key_zhangsan", "");//张三的key,
keySecretDic.Add("key_lisi", "");//李四的key
var result = new ResultModel<object>()
{
ReturnCode = 0,
Message = string.Empty,
Result = string.Empty
};
#region 判断请求是否过期---假设过期时间是20秒
DateTime requestTime = GetDateTimeByTicks(_timestamp);
if (requestTime.AddSeconds(20) < DateTime.Now)
{
result.ReturnCode = -1;
result.Message = "接口过期";
return GetHttpResponseMessage(result);
}
#endregion
#region 根据appkey获取key值
string secret = keySecretDic.Where(T => T.Key == appKey).FirstOrDefault().Value;
#endregion
#region 校验签名是否合法
var param = new SortedDictionary<string, string>(new AsciiComparer());
param.Add("age", age.ToString());
param.Add("appKey", appKey);
param.Add("appSecret", secret);//把secret加入进行加密
param.Add("_timestamp", _timestamp.ToString());
string currentSign = SignHelper.GetSign(param, appKey);
if (_sign != currentSign)
{
result.ReturnCode = -2;
result.Message = "签名不合法";
return GetHttpResponseMessage(result);
}
#endregion
var dataResult = stulist.Where(T => T.Age == age).ToList();
result.Result = dataResult;
return GetHttpResponseMessage(result);
}