公司内部开放API的安全策略

很多公司会为了给用户提供更好的使用体验，针对不同的前端平台（pc站点、m站点、移动应用、甚至公众号）开发业务逻辑基本相同、但布局和交互效果有所区别的产品。而业务逻辑部分就会抽取为公用模块为各个项目提供接口服务，也就是“内部API”。

内部API也通常会采用HTTP的方式通信，这也就难免会遇到数据安全问题。问题主要集中在传输过程中被监听，请求地址/参数被扫描，输入/输出数据被非法获取等。

所以，需要针对性的制定安全策略，当然也可以参考开放平台的api设计来制定策略，比如公众号开放平台、微博开放平台等，通常需要先申请一个appkey来标识第三方的身份，每次传输时通过签名来验证身份，对传输的参数和返回数据通过约定的加密算法和秘钥appsecret进行加解密等，具体步骤如下：

1. 为不同的平台分配不同的key（比如pc端=from_pc，android应用=from_android等）
2. 调用方生成签名，服务方验签

• 和API约定一致的签名算法和秘钥
• js加密时，需要对加密函数进行混淆加密处理
• andoroid/ios，需要做加固处理

3. 传输参数/返回结果进行加密

• 和API约定一致的加密算法和秘钥
• 同样js/andriod/ios等前端代码，需要做混淆/加密/加固处理

4. 使用https协议

采用上面方式后，即使使用抓包工具，也不能轻易获取明文或格式化数据了（当然开放给网页的接口，通过模拟浏览器访问，还是可以抓取渲染后的网页数据的）。