如何理解RESTful API的安全性

如何理解RESTful API的安全性，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

保證RESTful API的安全性，主要包括三大方面： 
a) 對客戶端做身份認證 
b) 對敏感的數據做加密，并且防止篡改 
c) 身份認證之后的授權 
對客戶端做身份認證，有幾種常見的做法： 
在請求中加簽名參數

1.為每個接入方分配一個密鑰，并且規定一種簽名的計算方法。要求接入方的請求中必須加上簽名參數。這個做法是最簡單的，但是需要確保接入方密鑰的安全保存，另外還要注意防范replay攻擊。其優點是容易理解與實現，缺點是需要承擔安全保存密鑰和定期更新密鑰的負擔，而且不夠靈活，更新密鑰和升級簽名算法很困難。

使用標準的HTTP身份認證機制

HTTP Basic身份認證安全性較低，必須與HTTPS配合使用。HTTP Digest身份認證可以單獨使用，具備中等程度的安全性。

HTTP Digest身份認證機制還支持插入用戶自定義的加密算法，這樣可以進一步提高API的安全性。不過插入自定義加密算法在面向互聯網的API中用的不是很多。 
這個做法需要確保接入方“安全域-用戶名-密碼”三元組信息的安全保存，另外還要注意防范replay攻擊。

優點：基于標準，得到了廣泛的支持（大量HTTP服務器端、客戶端庫）。在服務器端做HTTP身份認證的職責可以由Web Server（例如Nginx）、App Server（例如Tomcat）、安全框架（例如Spring Security）來承擔，對應用開發者來說是透明的。HTTP身份認證機制（RFC 2617）非常好地體現了“分離關注點”的設計原則，而且保持了操作語義的可見性。

2.缺點：這類基于簡單用戶名+密碼機制的安全性不可能高于基于非對稱密鑰的機制（例如數字證書）。

使用OAuth協議做身份認證

OAuth協議適用于為外部應用授權訪問本站資源的情況。其中的加密機制與HTTP Digest身份認證相比，安全性更高。需要注意，OAuth身份認證與HTTP Digest身份認證之間并不是相互取代的關系，它們的適用場景是不同的。OAuth協議更適合于為面向最終用戶維度的API提供授權，例如獲取隸屬于用戶的微博信息等等。如果API并不是面向最終用戶維度的，例如像七牛云存儲這樣的存儲服務，這并非是OAuth協議的典型適用場景。 
3.對敏感的數據做加密，并且防止篡改，常見的做法有：

部署SSL基礎設施（即HTTPS），敏感數據的傳輸全部基于SSL。  
僅對部分敏感數據做加密（例如預付費卡的卡號+密碼），并加入某種隨機數作為加密鹽，以防范數據被篡改。 
  
身份認證之后的授權，主要是由應用來控制。通常應該實現某種基于角色+用戶組的授權機制，這方面的框架有不少（例如Spring Security），不過大多數開發團隊還是喜歡自己來實現相關功能。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。