一、什麼是接口鑒權?
在開放API的情況下,接口鑒權是指API接口認證過程,防止未被授權的第三方應用、未認證用戶和惡意攻擊者訪問API接口。接口鑒權是一種難度比較高的技術,它需要在無障礙、高效、安全和穩定的前提之下,達到對特定接口資源的保護。
通常來講,接口鑒權的前提是要確定接口資源的安全級別和敏感程度,然後再決定採用何種方式進行授權。否則,未經過接口鑒權程序授權的請求就會直接被拒絕,無論請求的來源是API接口的所屬者還是第三方應用或者是某個惡意用戶。
二、接口鑒權的方式有哪些?
接口鑒權的方式有以下幾種:
1. Token鑒權
Token是由服務端生成的一串字符串,用於標識某個用戶的身份。當用戶登錄成功後,服務端返回給客戶端一個Token,客戶端將Token保存在本地,以後每次訪問服務器資源時都必須帶上它。服務端驗證Token,如果驗證通過,就返回請求結果;否則就返回401(未授權)。
2. HMAC鑒權
HMAC是一種散列消息認證碼,利用哈希函數和一個密鑰對消息進行加密和驗證,實現安全的通信。在HMAC鑒權中,客戶端通過把請求信息(如請求頭、請求參數等)和一段隨機字符串一起進行HMAC的哈希計算,得到一個認證碼(hash),將hash值添加到請求中的Authorization頭中。服務端接收到請求後,自行再進行一次哈希計算,比較計算出來的hash值是否匹配,如果匹配,則表明該請求是合法的。
3. Basic認證
Basic認證是HTTP標準的一種認證方式,其中用戶憑證需要在每個請求中明文傳輸。在Basic認證中,客戶端向服務端發送一個擁有用戶憑證的請求,服務端會根據該請求中的憑證信息,在服務端的用戶數據庫中校驗用戶身份。如果校驗成功,服務端就返回請求結果;否則就返回401(未授權)。
三、示例代碼
1. Token鑒權示例代碼:
// 服務端示例代碼(Node.js)
const jwt = require('jsonwebtoken');
// 鑒權函數
function auth(req, res, next) {
const token = req.headers.authorization.split(' ')[1];
jwt.verify(token, 'secret', (err, decoded) => {
if (err) {
res.status(401).json({ msg: 'Token 驗證失敗!' });
} else {
// 驗證通過,執行下一步操作
next();
}
});
}
// 生成 Token
function generateToken() {
const payload = { name: 'John Doe', age: 32 };
return jwt.sign(payload, 'secret', { expiresIn: '1h' });
}
// 客戶端示例代碼(JavaScript)
fetch('/api/user', {
method: 'GET',
headers: {
'Authorization': 'Bearer ' + token
}
})
2. HMAC鑒權示例代碼:
// 服務端示例代碼(Java)
// 生成 HMAC 簽名
public static String generateHmac(String data, String secret) throws Exception {
SecretKeySpec signingKey = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
Mac mac = Mac.getInstance("HmacSHA256");
mac.init(signingKey);
byte[] rawHmac = mac.doFinal(data.getBytes());
return Base64.getEncoder().encodeToString(rawHmac);
}
// 鑒權函數
public static boolean auth(HttpServletRequest request) {
String authorizationHeader = request.getHeader("Authorization");
if (authorizationHeader == null || !authorizationHeader.startsWith("HMAC")) {
return false;
} else {
String data = buildDataString(request);
String signature = authorizationHeader.substring(5);
try {
String hmac = generateHmac(data, "secret");
return hmac.equals(signature);
} catch (Exception e) {
return false;
}
}
}
// 客戶端示例代碼(JavaScript)
const headers = {
'Content-Type': 'application/json',
'Authorization': 'HMAC ' + generateHmac(JSON.stringify(data), 'secret')
};
fetch('/api/user', {
method: 'POST',
headers: headers,
body: JSON.stringify(data)
})
3. Basic認證示例代碼:
// 服務端示例代碼(Python)
from flask import Flask, request, Response
app = Flask(__name__)
@app.route('/api/user')
def user():
auth = request.authorization
if not auth or not auth.username == 'username' or not auth.password == 'password':
# 認證失敗,返回 401 錯誤
return Response('用戶名或密碼錯誤!', 401, {'WWW-Authenticate': 'Basic realm="Login Required"'})
else:
# 認證成功,返回請求結果
return 'Hello World!'
if __name__ == '__main__':
app.run()
// 客戶端示例代碼(JavaScript)
const headers = new Headers();
headers.append('Authorization', 'Basic ' + btoa('username:password'));
fetch('/api/user', {
method: 'GET',
headers: headers
})
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/234113.html
微信掃一掃 
支付寶掃一掃 