公司接口裸奔10年了,有必要用API接口签名验证吗? (mp.weixin.qq.com)

【简介】

请求身份
为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。

点击查看原文 >>

@code小生 2021-04-24 20:14 / 0个评论
赞过的人: @IT技术博客大学习 @code小生
要不要再学学下面的文章?
基于接口数据变异的App健壮性测试实践 (tech.meituan.com)
本文主要介绍了对网络返回数据进行变异的客户端健壮性测试实践经验。文章第一部分介绍客户端健壮性测试的基本概念;第二部分分享了基于接口返回数据变异的App健壮性测试方案设计的思路;第三部分主要解读了变异数据的构造和异常检测方案设计;第四部分介绍了精简变异数据的探索方案。
by @技术头条 2024-03-12 22:45 查看详情
为什么需要 “API 网关”? (www.addesp.com)
在 OSI 模型的网络层中,网关通常指路由器,因为它可以实现局域网间的数据互通。API 网关的作用也类似,即接受客户端的请求,转发客户端的请求,转发服务端的响应给客户端。

那么这和客户端直接请求有什么区别呢?一大区别就是 API 网关可以将不同服务的接口聚合成一个接口,客户端只要请求一次,API 网关就可以根据请求向若干个服务发起请求,等到请求完成后,一起返回给客户端。
by @技术头条 2023-11-06 23:29 查看详情
数字签名为什么可以防篡改 (www.addesp.com)
你可能在电视剧中看到坏人威胁主角的时候会拿出作为人质的亲人写的信,而主角一看笔迹就知道是亲人所写的了。

在这里笔迹起到了两个作用:1、证明信的内容确实是亲人所写;2、证明内容没有被篡改过。

在计算机的世界中,我们同样需要对信息一样的验证。
by @技术头条 2023-11-06 23:24 查看详情
Github commit 签名+合并 Commit (crossoverjie.top)
借着这个机会也了解了 rebase 的骚操作挺多的,不过我平时用的最多的还是 merge,这个倒没有好坏之分,只要同组的开发者都达成一致即可。
by @技术头条 2023-10-25 00:02 查看详情
使用 GPG 对 Git commit/tag 进行签名 (mingming.wang)
为什么要签名
GPG 可以对 Git commit 或 tag 进行签名,其它用户可以知道这个 commit 来源可信,也就是作者本人提交的代码。
by @幸运小懒人 2023-09-22 11:30 查看详情
如何在命令行中安全存取密钥信息:以 OpenAI API 密钥为例 (type.cyhsu.xyz)
大量涌现的 AI 项目引发了如何有效管理和取用 API 密钥的问题。每次复制粘贴过于麻烦,明文写进配置文件也不安全。但通过合理利用内置功能或第三方工具,就能用加密存储代替明文密钥,达到兼顾安全和便捷的目的。
by @技术头条 2023-07-23 12:30 查看详情
关于接口可维护性的一些建议 (www.diguage.com)
在做新需求开发或者相关系统的维护更新时,尤其是涉及到不同系统的接口调用时,在可维护性方面,总感觉有很多地方差强人意。一些零星思考,抛砖引玉,希望引发更多的思考和讨论。
by @技术头条 2023-07-23 12:30 查看详情
JWT 签名算法 HS256、RS256 及 ES256 及密钥生成 (thiscute.world)
JWT 规范的详细说明请见「参考」部分的链接。这里主要说明一下 JWT 最常见的几种签名算法(JWA):HS256(HMAC-SHA256) 、RS256(RSA-SHA256) 还有 ES256(ECDSA-SHA256)。

这三种算法都是一种消息签名算法,得到的都只是一段无法还原的签名。区别在于消息签名与签名验证需要的 「key」不同。
by @技术头条 2023-07-04 23:16 查看详情
使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 (paper.seebug.org)
在使用Jupyter Notebook和JupyterLab 的过程中,有些用户缺乏安全意识,未启用身份验证功能,导致任何用户都可以直接访问自己的Jupyter服务器,并查看其服务器上的代码和文档。

我们使用ZoomEye 网络空间搜索引擎,通过特定搜索关键词,可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档,若被不法分子利用,可能会造成数据泄露和资产损失。

我们建议全部Jupyter用户,在启动Jupyter服务的时候,遵循官方安全建议,设置成必须通过token或者password登录。
by @技术头条 2023-04-09 10:05 查看详情
实用 Web API 规范 (blog.alswl.com)
当开始创建一个新系统,或参与一个新团队或项目时,都会面临一个简单却深刻的问题:这个系统(Web Server)的 API 是否有设计规范?

这个问题困扰了我很长时间,始于我求学时期,每一次都需要与团队成员进行交流和讨论。从最初的自由风格到后来的 REST,我经常向项目组引用 Github v3 和Foursqure API(已经无法访问,暴露年龄) 文档。然而,在实践过程中,仍然会有一些与实际工作或公司通用规范不匹配的情况,这时候我需要做一些补充工作。最终,我会撰写一个简要的 DEVELOPMENT.md 文档,以描述设计方案。

但我对该文档一直有更多的想法,它还不够完善。因此,我想整理出一份简单(Simple)而实用(Pragmatic)的 Web API 最佳实践,也就是本文。
by @技术头条 2023-04-07 00:37 查看详情