API接口几种安全验证方法

如何保证数据的安全

方式一:简单的密文传输

特点:
(1)服务端和客户端先约定好加密算法,加密密钥;
(2)客户端,传输前用约定好的密钥加密;
(3)传输密文;
(4)服务端,收到消息后用约定好的密钥解密;

黑客定理:
客户端是不安全的,属于黑客本地范畴,能被逆向工程。

方法 api接口安全验证-传输密文

方式二:一人一密,服务端生成密钥

特点:
(1)客户端和服务端提前约定好加密算法,在传递消息前,先协商密钥;
(2)客户端,请求密钥;
(3)服务端,返回密钥;
(4)然后用协商密钥加密消息,传输密文;


黑客定理:

(1)网上传输的内容是不安全的,黑客能得到加密key=X;
(2)客户端和服务端提前约定的加密算法是不安全的,黑客能得到加密算法;
(3)黑客截取后续传递的密文,可以用对应的算法和密钥解密;

应该如何优化呢?
根本上,密钥不能在网络上直接传输。

方法三:根据用户特性一人一密,密钥不再传输

特点:
(1)协商的密钥无需在网络传输;
(2)使用“具备用户特性的东西”作为加密密钥,例如:用户密码的散列值;
(3)一人一密,每个人的密钥不同;
(4)然后密钥加密消息,传输密文;
(5)服务端从db里获取这个“具备用户特性的东西”,解密;

黑客定理三:
用户客户端内存是安全的,属于黑客远端范畴,认为是安全的。

 

posted @   晴箜万里  阅读(1671)  评论(0编辑  收藏  举报
编辑推荐:
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
点击右上角即可分享
微信分享提示