扫码关注官方订阅号
多数采用OAuth2,不过对于盗cookie没招,走HTTPS吧
api进行token校验或者签名,另外对于防刷,要进行限流
后台可以用token或session进行身份校验,session更严格一些会有超时时间;如果不需要登录,只是验证身份,可以利用生成token(可以根据姓名等信息再加上时间戳)并返回,请求接口时每次携带该token,并且设置机制,如果请求token过期了,需要请求方重新获取有效token再次请求该接口;
1.对IP进行过滤,频繁访问的进行限制。2.使用token令牌进行验证,通过后进行业务逻辑。3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
签名鉴权
ip限流
使用token令牌授权,控制ip访问频率
题主要看你如何定义接口安全了,我们可以看看新浪微博,每天无数的爬虫在爬,他的接口安全么?一般意义上安全指的是传输过程中不被盗取,走https基本可以做到,至于有人拿到api文档一类的东西(app被反向),那怎么样也防不了
所以如同楼上1.对IP进行过滤,频繁访问的进行限制。2.使用token令牌进行验证,通过后进行业务逻辑。3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
没有绝对的安全,题主可以看看微信开发者文档,看看他们的接口是怎么设计的
微信扫码关注PHP中文网服务号
QQ扫码加入技术交流群
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
PHP学习
技术支持
返回顶部
0 
7
837
收藏
多数采用OAuth2,不过对于盗cookie没招,走HTTPS吧
api进行token校验或者签名,另外对于防刷,要进行限流
后台可以用token或session进行身份校验,session更严格一些会有超时时间;如果不需要登录,只是验证身份,可以利用生成token(可以根据姓名等信息再加上时间戳)并返回,请求接口时每次携带该token,并且设置机制,如果请求token过期了,需要请求方重新获取有效token再次请求该接口;
1.对IP进行过滤,频繁访问的进行限制。
2.使用token令牌进行验证,通过后进行业务逻辑。
3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
签名鉴权
ip限流
使用token令牌授权,控制ip访问频率
题主要看你如何定义接口安全了,我们可以看看新浪微博,每天无数的爬虫在爬,他的接口安全么?一般意义上安全指的是传输过程中不被盗取,走https基本可以做到,至于有人拿到api文档一类的东西(app被反向),那怎么样也防不了
所以如同楼上
1.对IP进行过滤,频繁访问的进行限制。
2.使用token令牌进行验证,通过后进行业务逻辑。
3.不对参数过渡暴露,传输的文本根据业务级别进行加密。
没有绝对的安全,题主可以看看微信开发者文档,看看他们的接口是怎么设计的