如何设计API产品的认证部分?

访客4年前黑客资讯917

API产品的认证部分应该如何设计?本文结合作者自己的工作实践经历,对身份验证、对称签名身份验证、非对称加密的签名认证三种方式进行了分析,与大家分享。

如何设计API产品的认证部分?

做平台产品,绕不开API。当然API也需要伴侣,就是SDK。SDK可以把API的多次交互封装起来,让用户(开发者)只需要调用一个 *** ,就能完成一个需要多次调用API的业务。

在使用API的时候,它必须知道是谁来使用这个API,这就需要身份认证。最常见的身份认证,是通过账户密码登陆网站。不过现在这种操作越来越少了,现在主流的登陆方式,要么是手机验证码登陆,要么是微信扫码登陆,要么是调用其他账号的登陆。

先来看看传统登陆方式,数据库存放用户名和密码。

如何设计API产品的认证部分?

假设,用户名为tom,密码为123456。则用户登陆时,把tom和123456 POST到服务器。服务器去数据库里一找,发现有tom,密码也确实是123456,那么就登陆成功,也就是完成了身份认证。

这是典型的明文账户系统。它更大的缺点,是不安全。一旦数据库泄露,就知道了用户的密码,这个时候,就可以去撞库(用tom的密码123456去登陆tom在别的网站的账号)。

有时候,明文保存密码是黑客特意设置的,黑客设置一个网站吸引别人用邮箱去注册,明文保存了用户的密码。

为了安全起见,数据库采用加密的方式保存密码,而且一定是单项的,只能加密,不能解密。

如何设计API产品的认证部分?

如上图所示,这是经过md5处理的密码。当用户登陆的时候,发送用户名和经过md5处理的密码,后台去数据库里查询,查询到了说明登陆成功,否则就是登陆失败。

这样的好处是,黑客嗅探出了你的密码,也仅仅能登陆你登陆的这个网站,他不能还原出你加密前的明文,也就无法去撞库。即便网站数据库泄露了,也很难知道你真正的密码。

但是,现在有一些md5搜集器,搜集了很多明文密码,并使用md5加密后存在数据库里。

如何设计API产品的认证部分?

这样,如果你的密码是常规的密码,则很容易被逆向(查询)出来。比如:

如何设计API产品的认证部分?

它很容易就能查出你的原始密码,它仅仅是查询,而不是破解。因为有大量的常规的普遍的密码和加密后的md5被存进去。

如果想进一步安全,怎么办?办法也是有的,那就是使用公私钥的方式。

如何设计API产品的认证部分?

用户登陆,系统产生一个随机数,发送给用户。用户需要使用私钥对这个随机数进行签名,发给系统。系统用公钥验签,完成身份认证。

虽然这种 *** 安全,但是认证时间长,对服务器造成的压力也很大。在做产品设计的时候,成本因素也是一个必须考虑的问题,包括时间成本,服务器算力成本等。

这需要产品经理根据应用场景及安全级别去评估,取舍。而不是一味的选择更安全的系统。

刚才提到的是用户身份验证。而API中,更多的操作,是针对某个产品的权限的。

如何设计API产品的认证部分?

如上图所示,一个用户可以创建多个项目,每个项目都有一个key。我们假设,应用1用的是简单身份验证,应用1的key是一个具备一定长度的字符串。任何人只要知道这个字符串,就可以对其进行操作。

应用2比应用1安全一些,采用的是keyID+keySecret的方式,也就是hmac-sha256签名机制。它会用密钥对keyID、调用的API、参数、时间等进行签名,因为服务器也有一个相同的keySecret,可以用来验证签名,以确定身份。

应用3就是更安全的,它有keyID和keyPubkey,即公钥。调用的时候,使用私钥对API、 *** 、参数、时间等进行签名,服务器使用私钥对应的公钥对签名进行验签,但时间会长一些。

如何设计API产品的认证部分?

总结一下, 通常API身份验证有两种:简单身份验证,和签名身份验证。下面举例子,说明哪些领域使用哪些身份验证 *** 。

相关文章

2020社招:产品经理面试时,简历撰写常见的5类问题

2020社招:产品经理面试时,简历撰写常见的5类问题

编辑导读:对付想要转行的职场新人来说,产物履历不敷,如何担保本身的简历不在第一关就被刷下去呢?本文作者对产物司理口试中5个常见的简历问题举办了阐明总结,假如你正在口试,请记得制止这几种环境的产生。...

产品经理必备思维方式——工程思维

产品经理必备思维方式——工程思维

编辑导读:工程思维是一种量力而行办理问题的综合思维,它可以或许正确界说问题,并告竣共鸣。本文从是什么、为什么、怎么做三个角度切入,对工程思维的详细浮现和应用举办了深入阐明探究,与各人分享。 本月有一...

B端产品 | APP的反向导航,只能“从哪来回哪去“吗?

B端产品 | APP的反向导航,只能“从哪来回哪去“吗?

01 什么是反向导航 反向导航的概念官方定义出自Material Design: 从用户行为维度,分成三类:Lateral navigation(横向导航)、Forward navigation(前...

SaaS产品推广获客:单兵作战 vs 集群作战

SaaS产品推广获客:单兵作战 vs 集群作战

编辑导语:SaaS处事企业不能仅仅提供软件,还能让客户购置软件之后可以或许用得起来。本日,本文作者从本身参加的项目推广事情中总结出的HR Saas产物的推广要领,并对SaaS产物推广获客推广渠道、各渠...

“短视频种草+直播电商”营销手册,打造品牌全链路视频营销

“短视频种草+直播电商”营销手册,打造品牌全链路视频营销

本文针对直播带货与短视频种草的组合拳实操要领举办拆解,从实操的角度出发,深度辅佐品牌梳理全链条视频营销手段。 2020年,微播易产出了关于“直播带货底层逻辑”、“直播带货反直觉问题”、“直播带货的营...

2020年营销广告砍价指南

2020年营销广告砍价指南

营销界有一句知名的话:我知道广告费有一半浪费了,但问题是我不知道是哪一半。那么我们到底怎么做才能避免亏得多赚的少的营销行为?或许我们要学会砍价,从浪费的那一半中抠出利润。 在中国的企业和投资圈里,盛...