一、摘要
在实际的业务开发过程中,我们常常会碰到需要与第三方互联网公司进行技术对接,例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务,如果你是一个创业型互联网,大部分可能都是对接别的公司api接口。当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢?
二、方案介绍最常用的方案,主要有两种:
- token方案
- 接口签名
其中 token 方案,是一种在web端使用最广的接口鉴权方案,我记得在之前写过一篇《手把手教你,使用JWT实现单点登录》的文章,里面介绍的比较详细,有兴趣的朋友可以看一下,没了解的也没关系,我们在此简单的介绍一下 token 方案。
从上图,我们可以很清晰的看到,token 方案的实现主要有以下几个步骤:
- 1、用户登录成功之后,服务端会给用户生成一个唯一有效的凭证,这个有效值被称为token
- 2、当用户每次请求其他的业务接口时,需要在请求头部带上token
- 3、服务端接受到客户端业务接口请求时,会验证token的合法性,如果不合法会提示给客户端;如果
