Web API接口如何防止本网站/APP以外的调用「webapi 数据库操作」

文章目录 [+]

Web API接口如何防止本网站/APP以外的调用

：要有验证机制（权限控制）
：权限/流程控制/校验要在服务器端做
：你无法保证客户端合法，但必须保证流程合法。

对于网页一般用OAuth 2.0

对于App, 一般用 Authorization Code flow

随着信息化进程的加快，现在的网站和APP应用很常见，对于普通用户而言我们只能看到表现层（界面视图层），而内部的的数据交互及处理靠的是一个个API来实现的。所谓的API是指应用程序接口，也就是将特定的业务功能封装起来供第三方调用，现在的API有很多种形式，而Web API是最常见和便捷的。

既然API是提供给第三方调用的，这就存在一个问题：很多时候我们希望API只能由自家的产品去调用，防止他人调用，这该如何实现呢？这就得靠接口鉴权了。

什么是接口（API）鉴权？

正如上面所说，如果把API接口直接暴露在互联网上是存在安全风险的，所以我们需要对API进行权限划分，对接口调用方做一个用户鉴权，如果鉴权通过则允许此用户进行API调用，反之则拒绝。

根据不同的业务场景，接口鉴权方案也有很多种，下面详细给大家介绍。

Cookie + Session机制实现Web API的鉴权

这种机制是最为传统的，特别是在网站中的登录模块靠的就是Cookie+Session来实现会话管理的。

1、实现原理

后台为了标识请求是哪个客户端发现的，会在服务端生成一个Session来保存会话状态，各个Session是靠具有唯一性的SessionID来标识的，SessionID存储在客户端的Cookie中；后续所有请求都会把Cookie传到服务器端，服务器端解析Cookie后找到对应的Session进行判断。

2、>长处/p>

技术实现方便。

3、缺点>毛病/p>

不适合分布式应用，跨平台性差
Cookie传输会影响通信性能
HTTP协议本身是无状态的，而Cookie+Session机制硬生生的给加了状态进去，不符合设计理念
存在安全风险：因为Cookie是存储在客户端的，客户端可以随意更改Cookie，存在伪造请求的风险

Token机制实现Web API的鉴权

Token（令牌）是用来替代Session的新兴鉴权方案，现在的Web API基本上离不开Token令牌。

1、实现原理

Token是服务器端生成的一串加密串发放给客户端，客户端请求服务器端所有资源时会带上这个Token（通过GET/POST/Header来传递），由服务器端来校验这个Token的合法性。

2、>长处/p>

真正的无状态，适合分布式，扩展性好
性能高，安全性好

3、Token的实现>情势/p>

Token令牌技术是一种技术方案统称，具体的实现方案是有所差别的，最常见的Token种类有以下几种：

自定义实现Token：应用开发者根据Token机制原理自行实现
JWT：Json Web Token，是一种主流的Token规范
Oauth：Oauth本质上是授权规范，其中也用到了Token

HTTP Basic Authentication认证机制

Web API是基于HTTP协议的，而HTTP协议本身就带有认证机制。

HTTP协议的认证机制主要有两种：

基本认证
摘要认证

但是这种机制日常很少使用，因为HTTP协议在传输数据过程中是明文传输的，所以这种认证机制本身就存在安全风险，除非配合HTTPS来实现。

以上就是我的观点，对于这个问题大家是怎么看待的呢？欢迎在下方评论区交流 ~ 我是科技领域创作者，十年互联网从业经验，欢迎关注我了解更多科技知识！

web和api的区别

web即全球广域网，也称为万维网，它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。

api是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部工作机制的细节。