这是一个创建于 2350 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前有这么一个接口,接口是 https 的,传输过程安全可控,,, 但是 这个接口需要传递身份证号码,然后会返回根据身份证号码相关的信息,没办法,业务就是奇葩。。。
目前这个接口需要给一个第三方后台去调用,怎么保证这个接口请求是第三方发送过来的咧,第三方是有保证的,不会乱传数据,
目前问题是第三方只负责调用,不会配合我们做什么安全策略,,只能我们自己来限制,有啥好办法不
 | 1 lorryo 2019-06-04 10:49:54 +08:00 请求来源白名单? 参数加签名校验? 请求参数和返回结果都加密? |
 | 2 also24 2019-06-04 10:51:08 +08:00 “目前问题是第三方只负责调用,不会配合我们做什么安全策略” 在这个大前提大,token / sign 之类的对方都不会做喽? 那你能做的可能只有 - “限制 IP ”  |
| 3 also24 2019-06-04 10:51:43 +08:00 错别字: “在这个大前提大” -> "在这个大前提下" |
 | 4 wysnylc 2019-06-04 10:55:03 +08:00  1 非对称加密算法是一种密钥的保密方法。 非对称加密算法需要两个密钥:公开密钥( publickey:简称公钥)和私有密钥( privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。 重点在最后一部分 |
 | 5 Jirajine 2019-06-04 11:02:36 +08:00 via Android 对方不配合什么加密也白搭。只能限制来源 果然不愧是实名大国,身份证这种东西都随意的很 |
 | 6 tongz 2019-06-04 11:55:18 +08:00 LZ 说下你们的产品呗, 我先预防一下 |
 | 7 az422 2019-06-04 12:27:16 +08:00 via Android 1. 响应 |
| 8 az422 2019-06-04 12:28:44 +08:00 via Android 手滑点错发送。。 1. 响应数据加密 2. 限制请求来源,次数 3. 这种接口哪里有?想爬 |
 | 9 acehow 2019-06-04 12:40:50 +08:00 via Android ip 白名单呗。 |
 | 10 JmmBite 2019-06-04 13:19:41 +08:00 via iPhone 无解。 |
 | 11 dangyuluo 2019-06-04 13:53:34 +08:00 嗯,这个问题有点棘手,先把你这个身份证信息的 API 给我,我再考虑一下。 |
 | 12 x66 2019-06-04 13:57:40 +08:00 提供 SDK 给他们用,复杂逻辑你们做呗。 当然还是 IP 白名单靠谱。 |
 | 13 sleshep632 2019-06-04 14:18:23 +08:00 TLS 客户端证书 TLS 双向身份验证 https://fardog.io/blog/2017/12/30/client-side-certificate-authentication-with-nginx/ ``` if ($ssl_client_verify != SUCCESS) { return 403; } ``` |
| 14 sleshep632 2019-06-04 14:19:08 +08:00 https 客户端请求的时候是可以带证书的 |
 | 15 tabris17 2019-06-04 14:20:46 +08:00 客户端证书呗 |
Select Language