Wie führt man im Web bei der Verwendung von Ajax zum Aufrufen der API eine Sicherheitsüberprüfung durch, um zu verhindern, dass andere Websites sie aufrufen?
Wie kann das Schnittstellensicherheitsproblem gelöst werden, wenn es sich um einen APP-Aufruf handelt? Und wie kann verhindert werden, dass die API dem öffentlichen Netzwerk zugänglich gemacht wird? Gilt Ihre APP nicht als im öffentlichen Internet verfügbar, solange sie aufgerufen werden kann?
Wie führt man im Web bei der Verwendung von Ajax zum Aufrufen der API eine Sicherheitsüberprüfung durch, um zu verhindern, dass andere Websites sie aufrufen?
Wie kann das Schnittstellensicherheitsproblem gelöst werden, wenn es sich um einen APP-Aufruf handelt? Und wie kann verhindert werden, dass die API dem öffentlichen Netzwerk zugänglich gemacht wird? Gilt Ihre APP nicht als im öffentlichen Internet verfügbar, solange sie aufgerufen werden kann?
Ajax kann das Problem nicht domänenübergreifend lösen. Über den Server können domänenübergreifende Simulationsanfragen gesendet werden, um Ajax-Daten zu erhalten
Es gibt zwei Methoden, aber sie sind grundsätzlich ähnlich. Die andere besteht darin, der Seite ein Eingabetoken hinzuzufügen. Das Hauptproblem bei diesen beiden Methoden besteht jedoch darin, das Token zu verschlüsseln , token = md5 (IP-Zufallszahl Zeitstempel UID session_secret) Tatsächlich können Sie den Inhalt einfach selbst definieren, hauptsächlich die Verschlüsselung
1. Wenn Anforderungsheader
Fügen Sie den Anforderungsheader access_token hinzu, rufen Sie den Inhalt des Anforderungsheaders im Hintergrund ab und vergleichen Sie ihn dann mit dem Wert in der Sitzung. Wenn Sie es versuchen, wird bewiesen, dass kein Problem vorliegt, und die Sitzung wird dann ausgeführt ungültig sein.
2. Ähnlich wie der Anforderungsheader, aber der verschlüsselte Wert wird in der Eingabe ausgeblendet. Bei der Übermittlung von Ajax wird dieser Wert abgerufen und im Parameter
platziert
Beantworten Sie Ihre Fragen zur APP späterUm auf die APP zuzugreifen, muss sie sich im öffentlichen Netzwerk befinden. Unsere aktuelle Sicherheitslösung ist die Parameterverschlüsselung
Zum Beispiel, wenn Sie a=1&n=2
einreichen möchten
Dann müssen die Parameter beim tatsächlichen Senden verschlüsselt werden, mid=xxx&a=1&b=2&sign=md5(' mid=xxx&a=1&b=2' key)mid stellt ein Konto für den Client zum Aufrufen der Schnittstelle dar, und das Konto entspricht einem Schlüssel
Der Server muss jedes Mal prüfen, ob die übermittelten Parameter korrekt sind. Dies ist der letzte Vorzeichenparameter
Ein weiterer wichtiger Punkt ist, dass, wenn der Client eine native APP ist, der Code verschleiert und verschlüsselt werden muss, um eine Dekompilierung zu verhindern. Dann wird dieser Schlüssel regelmäßig geändert, und der Schlüssel wird geändert, wenn die Version aktualisiert wird
Eine andere Methode besteht darin, vor der Übermittlung der Parameter eine verschlüsselte Adresse für alle zu übermittelnden Parameter anzufordern. Diese Adresse gibt ein verschlüsseltes Token basierend auf Ihren Parametern zurück und übermittelt dann die tatsächlichen Parameter an das Backend zur Verifizierung
Der Nachteil dieser Methode besteht darin, dass sie eine weitere Netzwerkanfrage erfordert, was nur für Hybridanwendungen geeignet ist
Das habe ich auch durch das Lesen anderer Blogs gelernt, und ich weiß nicht, wie die Schnittstellen von Apps wie Taobao und JD.com gehandhabt werden
Wenn auf dem Server keine zusätzlichen Einstellungen vorhanden sind, kann Ajax Ihre API nicht domänenübergreifend aufrufen. Sie können auch den angeforderten Domänennamen zur Beurteilung abrufen
Um den Zugriff auf von Ihnen autorisierte Websites zu ermöglichen
Sie können im Anforderungsheader ein Access-Token hinzufügen
Wenn es sich um einen API-Aufruf mit Schnittstellencharakter handelt, sollte er nicht im öffentlichen Netzwerk verfügbar gemacht werden. Wenn es sich um einen Ajax-Aufruf für Front-End-JS handelt, muss sichergestellt werden, dass der Benutzer ihn erst nach der Anmeldung aufrufen kann , was bedeutet, dass die Sitzung überprüft wird.
Fügen Sie
zum ajax-Anforderungsheader hinzu, z. B. token
<code>$(function() {
$.ajax({
type: "GET",
url: "godruoyi.com",
beforeSend: function(request) {
request.setRequestHeader("token", "asdadsadasdasdadadad");
},
success: function(result) {
alert(result);
}
});
});</code>zur Vorlagenbasisklasse hinzu
<code>$.ajaxSetup({
headers: { 'token' : 'xxxxxxxxxxxx' }
});</code> Der gültige Wert, der von der Anmelde-API zurückgegeben werden kann. Bei allen nachfolgenden Anforderungen (zur Überprüfung der Identität, Mitbringen des Tokens) verwendet der Server dieses Token, um den Benutzer zu identifizieren. token
, siehe oauth2.0Oauth2
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
