Explr:腾讯云和阿里云的 API 鉴权都是公共参数+接口参数排序后计算 HMAC 当作签名。而 Cloudflare,Github,Godaddy 的 API 往往都是直接把凭据写进 HTTP 头,然后直接发请求。
腾讯云 API
阿里云 API
Cloudflare API
Github API
使用 HMAC 的优点是凭据无需通过互联网传输,然而 API Key 的特点就是很长,保存在计算机上而不是用脑子记,可以定期更换,泄露也不会导致撞库攻击,为什么要对 API Key 采取比密码更严格的保护措施?以及 HMAC 方案应对的威胁模型是什么?
另外,阿里云和腾讯云的 API 都单独具有抗重放攻击性,在两端点不被入侵的情况下 HTTPS 已经确保了这一点。如果客户机或服务器被入侵,HMAC 签名似乎也只能增大一点点攻击难度,理论上并不能阻止入侵或非法调用 API 。
再者就是,如果一定要用数字签名,为什么他们不用JWS之类的方案,而要用排序接口参数再签名的方案?文档上也往往没有具体说排序的标准,大写在前还是小写在前也不清晰,尽管接口行为往往和编程语言的排序库行为一致,不过作为 API 文档来说,这是有歧义的。
并且,阿里云 API 接口编码来编码去的,好像也没有比 JWS 简洁多少……
oott123:你比较的对象错了,你要去看看 AWS 的 API 咋签名的,因为国内这些云也是参考 AWS 之类的东西的
kangsheng9527:相互伤害(增加攻击成本,计算消耗了攻击方 cpu 时间),防止低成本攻击。
正如你说的保护原始 key 。。。增加接触 api 的人员门槛有助于整个圈子的健康。。。
我是认同国内这一套的。。。
刚好我也用过阿里云 api 。。。
Explr:@oott123 有道理,AWS 的方案是相似的,我最近在维护一个 ACME 客户端,从 Let's encrypt 自动获取数字证书,要用 API 增删 DNS 记录,所以就把阿里云、腾讯云和 Cloudflare 、Godaddy 联系起来了。不过说真的,为啥不用 JWS……
Explr:@kangsheng9527 对,不过我总不能为了增删一下 DNS 记录,就把整个阿里云 SDK 加进项目依赖吧……API 调用还得自己写……
免费的网页截图 APIxx19941215:网页截屏大师 目前推出了免费的截屏 API 供开发者使用 1.支持网页长截图。 2.支持自定义浏览器视口宽高。 3.可选内置浏览器边框 视觉效果佳。 4.多条线路可选 适合对国内站点、国际站点都有截图需求的用户。 5.支持自定义 cookie 以实现登陆截图。 API 文档请参考 ? 这里
api-mom 一个 API 在线管理工具andychen1:免费,安全,简单易用界面简洁。支持团队多人协作,只需安装 chrome 浏览器 api-mom 扩展就可以对 API 进行测试。 项目里的文件夹,接口列表,接口 Tab 都支持鼠标拖动排序。 编辑接口时支持常用快捷键 Ctrl + S 保存。 接口文档和测试结果并排,一切都在眼前,方便校对。 接口越来越多,可以用模糊搜索快速找出。 浏览模…
各种有知道有哪些稳定的 API 数据云服务厂商吗?inktiger:想在本地使用一个简单 html 做一个小东西,不想搭载服务,想到用 api 数据云,在云端设计数据库表,使用 api 用 ajax 调用进行增删改查就行,目前我知道的有 apicloud 支持这么玩,可我感觉他不靠谱,还有什么其他比较做的好的吗
平台领导要求产品经理写 API 接口名称Axibaba:部门领导刚上任不久,但管不动现在的研发员工,研发员工(以前跟他平级)不想写 API 接口名称和注释。都推给了产品经理来做,这个部门领导开始要求产品来写qiayue:从无数职场历史经验来看,部门领导只能招新人,慢慢替换掉旧人了。 Axibaba:@qiayue 产品经理写 API 注释和名称 可是要出问题的。搞不懂领导咋想的
在 iOS14 新照片 API 的限制下,微信选择将访问所有照片的行为进行到底NoobX:新版本微信点击发送照片,会提示“无法访问相册中的所有照片,建议允许前往系统设置,允许微信访问照片中的所有照片”。 尽管有提供继续访问部分照片的选项(如果访问列表为空,甚至不会给出继续访问部分照片的选项,这无异于误导部分用户认为“访问所有照片”是必须的权限),而且即使点击进去后也不再有旧版本选择更多照片的选项,需要额外进入设置-权限来编辑照片列表。…