要给第三方厂商提供 HTTP 接口，该怎么做接口保护？

2019-12-23 11:39:47 +08:00

jaylee4869

如果请求头带 token 的话会相对麻烦，参数 MD5 校验目前来说比较简单可行，各位大佬有啥推荐的做法吗？另外一个就是担心接口承受的频率，令牌桶限流我会考虑考虑实现一下……

3195 次点击

所在节点

7 条回复

993651481

2019-12-23 12:50:45 +08:00

个人感觉 token 得话可能更方便一些。写个 http 中间件，认证逻辑中间件做。md5 的话还得要考虑参数排序之类的

junan0708

2019-12-23 13:06:37 +08:00

限制 ip

chenuu

2019-12-23 13:10:01 +08:00

商户号配置 rsa/pgp,IP 白名单.内容上,约定敏感字段,拼一下走个 rsa 的签名验签.

lhx2008

2019-12-23 13:14:11 +08:00

token 就行，不过别让对方前端调

Laimf

2019-12-23 13:42:54 +08:00

token
sign 加签带时间戳

chinvo

2019-12-23 13:43:54 +08:00

token 加签名

token 可以用 OAuth 之类的方案

签名就是对主要字段做 hmac 或者私钥签名

chinvo

2019-12-23 13:44:45 +08:00

注意签名用的密钥绝对不能通过请求同时传递（仅参与签名而不对外暴露）

以及禁止前端直接调用

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.