更新时间:2023-09-27 GMT+08:00
安全性
API使用合适的认证模式
本条规则是Should类型的扩展规则,可提升API的安全性。
根据具体业务场景,选择API调用的认证模式,具体说明如表1所示。
|
认证模式 |
认证描述 |
|---|---|
|
AppKey |
在API请求Header或者Query中携带AppId和AppKey用于进行身份认证,该认证方法直接传递密钥,在使用过程中需要使用HTTPS协议保证传输安全。 |
|
签名认证 |
请求Header或者Query中携带请求签名、请求时间和应用身份进行身份认证,该认证方法对请求中URI、HTTP方法、AppId、SignKey、请求时间等采用HMAC-SHA256进行计算,在API请求过程中不会直接传递SignKey,同时对请求时间进行有效校验,避免重复请求攻击。 |
|
动态Token |
API请求可使用AppId及AppKey向Token服务器换取动态Token,在动态Token有效期内,在API请求Header中携带Token进行身份认证,由于在换取Token过程中传递AppKey,因此换取Token需要使用HTTPS协议保证传输安全。 |
父主题: API开放
