flow photo怎么存儲？流照片存儲需要在后臺打開存儲文件，然后保存要保存的文件。Web API接口如何防止本網(wǎng)站/APP以外的調(diào)用？隨著信息化的加速，現(xiàn)在網(wǎng)站和APP應(yīng)用非常普遍。對于普通用戶來

flow photo怎么存儲？

流照片存儲需要在后臺打開存儲文件，然后保存要保存的文件。

Web API接口如何防止本網(wǎng)站/APP以外的調(diào)用？

隨著信息化的加速，現(xiàn)在網(wǎng)站和APP應(yīng)用非常普遍。對于普通用戶來說，我們只能看到表示層(界面視圖層)，內(nèi)部的數(shù)據(jù)交互和處理都是通過API實現(xiàn)的。所謂API，是指應(yīng)用程序接口，即封裝具體的業(yè)務(wù)功能，供第三方調(diào)用?，F(xiàn)在API的形式有很多種，Web API是最常見最方便的。

由于API是提供給第三方調(diào)用的，所以有一個問題:很多時候我們希望API只能由自己的產(chǎn)品調(diào)用，防止別人調(diào)用。如何實現(xiàn)這一點？這取決于接口認(rèn)證。

什么是接口(API)認(rèn)證？如上所述，如果API接口直接暴露在互聯(lián)網(wǎng)上，存在安全風(fēng)險，所以我們需要劃分API的權(quán)限，對接口的調(diào)用者進(jìn)行認(rèn)證。如果身份驗證通過，則允許用戶進(jìn)行API調(diào)用，否則會被拒絕。

根據(jù)不同的業(yè)務(wù)場景，接口認(rèn)證方案有很多種，下面詳細(xì)介紹。

Cookie會話機制實現(xiàn)了Web API的認(rèn)證，這是最傳統(tǒng)的機制，尤其是網(wǎng)站中的登錄模塊依靠Cookie會話實現(xiàn)會話管理。

1、實現(xiàn)原則

為了識別哪個客戶端發(fā)現(xiàn)了請求，后臺將在服務(wù)器上生成一個會話來保存會話狀態(tài)。每個會話由一個唯一的SessionID標(biāo)識，SessionID存儲在客戶端的Cookie中。所有后續(xù)請求都會向服務(wù)器發(fā)送cookie，服務(wù)器解析cookie后會找到相應(yīng)的會話進(jìn)行判斷。

2.優(yōu)勢

該技術(shù)實現(xiàn)方便。

3.缺點和劣勢

不適合分布式應(yīng)用，跨平臺性差。

Cookie傳輸會影響通信性能。

HTTP協(xié)議本身是無狀態(tài)的，Cookie會話機制突然添加狀態(tài)，不符合設(shè)計理念。

存在安全風(fēng)險:由于cookie存儲在客戶端，客戶端可以隨意更改cookie，存在偽造請求的風(fēng)險。

Token機制實現(xiàn)Web API Token的認(rèn)證是一種替代Session的新型認(rèn)證方案，目前的Web API基本離不開Token token。

1、實現(xiàn)原則

令牌是由服務(wù)器生成并分發(fā)給客戶端的加密字符串。當(dāng)客戶端請求服務(wù)器的所有資源時，會帶這個令牌(通過GET/POST/Header傳遞)，服務(wù)器會驗證這個令牌的合法性。

2.優(yōu)勢

真的無狀態(tài)，適合分發(fā)，擴(kuò)展性好。

性能高，安全性好。

3.令牌的實現(xiàn)形式

Token令牌技術(shù)是一種技術(shù)方案，具體實現(xiàn)方案不一樣。最常見的令牌類型如下:

自定義令牌:應(yīng)用開發(fā)者根據(jù)令牌機制原理自行實現(xiàn)。

JWT:Json Web Token是一個主流的令牌規(guī)范。

Oauth:Oauth本質(zhì)上是一個授權(quán)規(guī)范，其中也使用了Token。

http基本認(rèn)證認(rèn)證機制Web API是基于HTTP協(xié)議的，HTTP協(xié)議本身就有認(rèn)證機制。

HTTP協(xié)議有兩種主要的身份驗證機制:

基本認(rèn)證

摘要認(rèn)證

但是這種機制在日常生活中很少使用，因為HTTP協(xié)議是明文傳輸?shù)?，所以這種認(rèn)證機制本身就有安全隱患，除非用HTTPS實現(xiàn)。

那個 這是我的看法。你怎么看待這個問題？歡迎在下方評論區(qū)交流~我是科技領(lǐng)域的創(chuàng)作者，有十年互聯(lián)網(wǎng)行業(yè)經(jīng)驗。歡迎關(guān)注我了解更多科技知識！