flow photo怎么存儲(chǔ)？流照片存儲(chǔ)需要在后臺(tái)打開存儲(chǔ)文件，然后保存要保存的文件。Web API接口如何防止本網(wǎng)站/APP以外的調(diào)用？隨著信息化的加速，現(xiàn)在網(wǎng)站和APP應(yīng)用非常普遍。對(duì)于普通用戶來

flow photo怎么存儲(chǔ)？

流照片存儲(chǔ)需要在后臺(tái)打開存儲(chǔ)文件，然后保存要保存的文件。

Web API接口如何防止本網(wǎng)站/APP以外的調(diào)用？

隨著信息化的加速，現(xiàn)在網(wǎng)站和APP應(yīng)用非常普遍。對(duì)于普通用戶來說，我們只能看到表示層(界面視圖層)，內(nèi)部的數(shù)據(jù)交互和處理都是通過API實(shí)現(xiàn)的。所謂API，是指應(yīng)用程序接口，即封裝具體的業(yè)務(wù)功能，供第三方調(diào)用?，F(xiàn)在API的形式有很多種，Web API是最常見最方便的。

由于API是提供給第三方調(diào)用的，所以有一個(gè)問題:很多時(shí)候我們希望API只能由自己的產(chǎn)品調(diào)用，防止別人調(diào)用。如何實(shí)現(xiàn)這一點(diǎn)？這取決于接口認(rèn)證。

什么是接口(API)認(rèn)證？如上所述，如果API接口直接暴露在互聯(lián)網(wǎng)上，存在安全風(fēng)險(xiǎn)，所以我們需要?jiǎng)澐諥PI的權(quán)限，對(duì)接口的調(diào)用者進(jìn)行認(rèn)證。如果身份驗(yàn)證通過，則允許用戶進(jìn)行API調(diào)用，否則會(huì)被拒絕。

根據(jù)不同的業(yè)務(wù)場景，接口認(rèn)證方案有很多種，下面詳細(xì)介紹。

Cookie會(huì)話機(jī)制實(shí)現(xiàn)了Web API的認(rèn)證，這是最傳統(tǒng)的機(jī)制，尤其是網(wǎng)站中的登錄模塊依靠Cookie會(huì)話實(shí)現(xiàn)會(huì)話管理。

1、實(shí)現(xiàn)原則

為了識(shí)別哪個(gè)客戶端發(fā)現(xiàn)了請(qǐng)求，后臺(tái)將在服務(wù)器上生成一個(gè)會(huì)話來保存會(huì)話狀態(tài)。每個(gè)會(huì)話由一個(gè)唯一的SessionID標(biāo)識(shí)，SessionID存儲(chǔ)在客戶端的Cookie中。所有后續(xù)請(qǐng)求都會(huì)向服務(wù)器發(fā)送cookie，服務(wù)器解析cookie后會(huì)找到相應(yīng)的會(huì)話進(jìn)行判斷。

2.優(yōu)勢

該技術(shù)實(shí)現(xiàn)方便。

3.缺點(diǎn)和劣勢

不適合分布式應(yīng)用，跨平臺(tái)性差。

Cookie傳輸會(huì)影響通信性能。

HTTP協(xié)議本身是無狀態(tài)的，Cookie會(huì)話機(jī)制突然添加狀態(tài)，不符合設(shè)計(jì)理念。

存在安全風(fēng)險(xiǎn):由于cookie存儲(chǔ)在客戶端，客戶端可以隨意更改cookie，存在偽造請(qǐng)求的風(fēng)險(xiǎn)。

Token機(jī)制實(shí)現(xiàn)Web API Token的認(rèn)證是一種替代Session的新型認(rèn)證方案，目前的Web API基本離不開Token token。

1、實(shí)現(xiàn)原則

令牌是由服務(wù)器生成并分發(fā)給客戶端的加密字符串。當(dāng)客戶端請(qǐng)求服務(wù)器的所有資源時(shí)，會(huì)帶這個(gè)令牌(通過GET/POST/Header傳遞)，服務(wù)器會(huì)驗(yàn)證這個(gè)令牌的合法性。

2.優(yōu)勢

真的無狀態(tài)，適合分發(fā)，擴(kuò)展性好。

性能高，安全性好。

3.令牌的實(shí)現(xiàn)形式

Token令牌技術(shù)是一種技術(shù)方案，具體實(shí)現(xiàn)方案不一樣。最常見的令牌類型如下:

自定義令牌:應(yīng)用開發(fā)者根據(jù)令牌機(jī)制原理自行實(shí)現(xiàn)。

JWT:Json Web Token是一個(gè)主流的令牌規(guī)范。

Oauth:Oauth本質(zhì)上是一個(gè)授權(quán)規(guī)范，其中也使用了Token。

http基本認(rèn)證認(rèn)證機(jī)制Web API是基于HTTP協(xié)議的，HTTP協(xié)議本身就有認(rèn)證機(jī)制。

HTTP協(xié)議有兩種主要的身份驗(yàn)證機(jī)制:

基本認(rèn)證

摘要認(rèn)證

但是這種機(jī)制在日常生活中很少使用，因?yàn)镠TTP協(xié)議是明文傳輸?shù)?，所以這種認(rèn)證機(jī)制本身就有安全隱患，除非用HTTPS實(shí)現(xiàn)。

那個(gè) 這是我的看法。你怎么看待這個(gè)問題？歡迎在下方評(píng)論區(qū)交流~我是科技領(lǐng)域的創(chuàng)作者，有十年互聯(lián)網(wǎng)行業(yè)經(jīng)驗(yàn)。歡迎關(guān)注我了解更多科技知識(shí)！