面试官：如何设计安全的对外 API？

文章预览

图解学习网站： https://xiaolincoding.com 当向外部服务暴露 API 时，确保安全通信至关重要，以防止未经授权的访问和数据泄露。 两种常用的 API 安全方法是 基于 Token 的身份认证 和 基于 HMAC（哈希消息认证码）的认证 。 下面我们来介绍这两种方法的工作原理，并比较它们的不同之处。 01 基于令牌 第 1 步 - 用户在客户端输入密码，客户端将密码发送给验证服务器。 第 2 步 - 验证服务器验证凭据并生成一个有有效期的令牌。 第 3 步和第 4 步 - 现在，客户端可以发送请求，客户端在每个 API 请求的 Authorization 头中包含这个Token，访问服务器资源。这种访问在令牌过期前一直有效。 优点 无状态：服务器不需要维护会话状态，Token 本身包含验证所需的所有信息。 灵活性：Token 可以包含角色或权限等元数据，支持细粒度的访问控制。 支持 OAuth 集成：与OAuth 2. ………………………………