javascript - Wie führe ich eine Sicherheitsüberprüfung in der Ajax-API durch?

Wie führt man im Web bei der Verwendung von Ajax zum Aufrufen der API eine Sicherheitsüberprüfung durch, um zu verhindern, dass andere Websites sie aufrufen?

Wie kann das Schnittstellensicherheitsproblem gelöst werden, wenn es sich um einen APP-Aufruf handelt? Und wie kann verhindert werden, dass die API dem öffentlichen Netzwerk zugänglich gemacht wird? Gilt Ihre APP nicht als im öffentlichen Internet verfügbar, solange sie aufgerufen werden kann?

Antwortinhalt:

Wie führt man im Web bei der Verwendung von Ajax zum Aufrufen der API eine Sicherheitsüberprüfung durch, um zu verhindern, dass andere Websites sie aufrufen?

Wie kann das Schnittstellensicherheitsproblem gelöst werden, wenn es sich um einen APP-Aufruf handelt? Und wie kann verhindert werden, dass die API dem öffentlichen Netzwerk zugänglich gemacht wird? Gilt Ihre APP nicht als im öffentlichen Internet verfügbar, solange sie aufgerufen werden kann?

Ajax kann das Problem nicht domänenübergreifend lösen. Über den Server können domänenübergreifende Simulationsanfragen gesendet werden, um Ajax-Daten zu erhalten

Es gibt zwei Methoden, aber sie sind grundsätzlich ähnlich. Die andere besteht darin, der Seite ein Eingabetoken hinzuzufügen. Das Hauptproblem bei diesen beiden Methoden besteht jedoch darin, das Token zu verschlüsseln , token = md5 (IP-Zufallszahl Zeitstempel UID session_secret) Tatsächlich können Sie den Inhalt einfach selbst definieren, hauptsächlich die Verschlüsselung

Fügen Sie den verschlüsselten Inhalt in die Sitzung ein und legen Sie die Ablaufzeit für die Sitzung fest

1. Wenn Anforderungsheader

Fügen Sie den Anforderungsheader access_token hinzu, rufen Sie den Inhalt des Anforderungsheaders im Hintergrund ab und vergleichen Sie ihn dann mit dem Wert in der Sitzung. Wenn Sie es versuchen, wird bewiesen, dass kein Problem vorliegt, und die Sitzung wird dann ausgeführt ungültig sein.

2. Ähnlich wie der Anforderungsheader, aber der verschlüsselte Wert wird in der Eingabe ausgeblendet. Bei der Übermittlung von Ajax wird dieser Wert abgerufen und im Parameter

platziert

Beantworten Sie Ihre Fragen zur APP später

Um auf die APP zuzugreifen, muss sie sich im öffentlichen Netzwerk befinden. Unsere aktuelle Sicherheitslösung ist die Parameterverschlüsselung

Zum Beispiel, wenn Sie a=1&n=2

einreichen möchten

Dann müssen die Parameter beim tatsächlichen Senden verschlüsselt werden, mid=xxx&a=1&b=2&sign=md5(' mid=xxx&a=1&b=2' key)

mid stellt ein Konto für den Client zum Aufrufen der Schnittstelle dar, und das Konto entspricht einem Schlüssel

Der Server muss jedes Mal prüfen, ob die übermittelten Parameter korrekt sind. Dies ist der letzte Vorzeichenparameter

Ein weiterer wichtiger Punkt ist, dass, wenn der Client eine native APP ist, der Code verschleiert und verschlüsselt werden muss, um eine Dekompilierung zu verhindern. Dann wird dieser Schlüssel regelmäßig geändert, und der Schlüssel wird geändert, wenn die Version aktualisiert wird

Eine andere Methode besteht darin, vor der Übermittlung der Parameter eine verschlüsselte Adresse für alle zu übermittelnden Parameter anzufordern. Diese Adresse gibt ein verschlüsseltes Token basierend auf Ihren Parametern zurück und übermittelt dann die tatsächlichen Parameter an das Backend zur Verifizierung

Der Nachteil dieser Methode besteht darin, dass sie eine weitere Netzwerkanfrage erfordert, was nur für Hybridanwendungen geeignet ist

Das habe ich auch durch das Lesen anderer Blogs gelernt, und ich weiß nicht, wie die Schnittstellen von Apps wie Taobao und JD.com gehandhabt werden

Wenn auf dem Server keine zusätzlichen Einstellungen vorhanden sind, kann Ajax Ihre API nicht domänenübergreifend aufrufen. Sie können auch den angeforderten Domänennamen zur Beurteilung abrufen

Um den Zugriff auf von Ihnen autorisierte Websites zu ermöglichen

Sie können im Anforderungsheader ein Access-Token hinzufügen

Wenn es sich um einen API-Aufruf mit Schnittstellencharakter handelt, sollte er nicht im öffentlichen Netzwerk verfügbar gemacht werden. Wenn es sich um einen Ajax-Aufruf für Front-End-JS handelt, muss sichergestellt werden, dass der Benutzer ihn erst nach der Anmeldung aufrufen kann , was bedeutet, dass die Sitzung überprüft wird.

Fügen Sie

zum ajax-Anforderungsheader hinzu, z. B. token

<code>$(function() {
    $.ajax({
        type: "GET",
        url: "godruoyi.com",
            beforeSend: function(request) {
                request.setRequestHeader("token", "asdadsadasdasdadadad");
            },
            success: function(result) {
                alert(result);
            }
        });
});</code>

Oder fügen Sie

zur Vorlagenbasisklasse hinzu

<code>$.ajaxSetup({
    headers: { 'token' : 'xxxxxxxxxxxx' }
});</code>

Der gültige Wert, der von der Anmelde-API zurückgegeben werden kann. Bei allen nachfolgenden Anforderungen (zur Überprüfung der Identität, Mitbringen des Tokens) verwendet der Server dieses Token, um den Benutzer zu identifizieren. token

ist etwas ähnlich zu

, siehe oauth2.0Oauth2