「干货资料」软件接口安全设计规范

接口设计安全规范，token授权机制，https传输加密，接口调用防滥用。获取更多干货资料，请点击小编头像进主页。

Token授权机制：业务系统通过分配的APP ID和APPKEY登录后服务器给客户端返回一个Token，Token是双方访问凭证。

时间戳超时机制：每次API请求都带上当前时间的时间戳timestamp，服务端接收到timestamp后跟当前时间进行比对，如果时间戳超时，则认为该请求失效。

签名机制：将 Token 和 时间戳 加上其他请求参数再用MD5算法加密，加密后的数据就是本次请求的签名sign，签名机制保证了数据不会被篡改。

接口调用防滥用接口调用白名单机制：对需要调用接口的服务器进行白名单限制来源IP。

调用次数限制：单一ip或者APPid进行阈值限制，如限制一天内累计访问接口次数<1000次。

调用频率限制：单一ip或者APPid进行阈值限制，如限制1分钟内访问接口次数<20次。

调用数据内容限制：单一ip或者APPid进行阈值限制，如限制一天内无法请求超过5000条数据。

接口调用日志及监控

1、应进行审计的事件日志：调用开始和退出的时间、异常的系统调用行为的审计内容；每个审计日志记录中至少记录如下信息：事件的日期和时间、事件的类型、主题标识、事件的结果(成功、失败)和事件相关信息。

2、所有密码、身份证、手机号码等敏感数据均不能在日志中出现，确实需要出现的，需要保存时隐去部分信息。

3、通过监控大屏查看实时日志并进行查询、汇总