专栏首页福大大架构师每日一题2020-10-09:假如我能拿到别人的URL,然后篡改数据(金额)发送给系统...
原创

2020-10-09:假如我能拿到别人的URL,然后篡改数据(金额)发送给系统...

2020-10-09:假如我能拿到别人的URL,然后篡改数据(金额)发送给系统,如何避免这种事情的发生?

福哥答案2020-10-09:#福大大架构师每日一题#

此答案来自知乎:

这种敏感url一般都有安全机制的:

1.ip 白名单,像三方支付,三方充值,这种url一般都是支付银行调用,是特定的ip,设置好ip白名单,除了这些ip调用无效。

2.请求加密,一般先通过 RSA 加密公钥交换对称加密秘钥,之后通过 AES 这种对称加密,加密请求 body。

3.签名,通过特定算法生成特定签名,服务端利用签名验证请求。

4.token,需要先获取token,然后在请求中带上 token 才能调用。

这四种机制比较常见,对于敏感接口,就都带上吧,想破解就很难很难了。


评论

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 2020-10-08:服务被别人攻击,不断刷新页面,怎么解决这个问题?

    做唯一标识的假cookie。第一次访问浏览器保存了cookie,以后每次访问,服务端可以通过cookie做校验,如果同一个cookie访问太频繁,完全可以做限制...

    福大大架构师每日一题
  • 2020-11-16:手写代码:leetcode第406题。假设有打乱顺序的一群

    2020-11-16:手写代码:leetcode第406题。假设有打乱顺序的一群人站成一个队列。 每个人由一个整数对(h, k)表示,其中h是这个人的身高,k是...

    福大大架构师每日一题
  • 2020-09-02:Sqoop的工作原理?

    [答案来自此链接](https://www.kaops.com/ivquest/104670)

    福大大架构师每日一题
  • 一招之力,Python打通云开发七经六脉

    “众所周知,云开发目前只支持Node js,如何突破这个限制?且看高手们如何用Python打通云开发七经六脉,让云开发的使用更加行云流水。”

    腾讯云开发TCB
  • ASP.NET Core 实战:基于 Jwt Token 的权限控制全揭露

      在涉及到后端项目的开发中,如何实现对于用户权限的管控是需要我们首先考虑的,在实际开发过程中,我们可能会运用一些已经成熟的解决方案帮助我们实现这一功能,而在 ...

    程序员宇说
  • laravel 5.5 关闭token的3种实现方式

    在middleware的verifyCsrfTkoen.php中添加函数方法 handle 可以在项目整个禁用token;

    砸漏
  • 用Token令牌维护微服务之间的通信安全的实现

    在微服务架构中,如果忽略服务的安全性,任由接口暴露在网络中,一旦遭受攻击后果是不可想象的、 保护微服务键安全的常见方案有:1.JWT令牌(token) 2.双向...

    蓝夏
  • 缓存,并发更新的大坑?

    《缓存,究竟是淘汰,还是修改?》发出后,有朋友提到,高并发的情况下,缓存的更新可能存在问题,今天简单聊聊这个话题。

    架构师之路
  • Python接口自动化之接口依赖

    在上一篇Python接口自动化测试系列文章:Python接口自动化之logging封装及实战,

    ITester软件测试小栈
  • 使用Identity Server 4建立Authorization Server (4)

    上一篇讲了使用OpenId Connect进行Authentication. 下面讲 Hybrid Flow和Offline Access 目前我们解决方案里面...

    solenovex

扫码关注云+社区

领取腾讯云代金券