开放 API 接口安全设计思路
开放API接口安全校验的背景:
在未进行安全处理的开放 API 接口存在诸多的风险问题,如以下三种常见场景:
1、场景一
A 公司开发的开放 API 未对接口进行安全控制,有黑客通过爬虫程序调用开放 API 查询客户信息的接口,由于没有安全验证,A 公司的客户数据通过客户信息查询 API 流出,竞争公司拥有了这批客户数据,对 A 公司造成损失。
2、场景二
A 公司开发的开放 API 未对接口进行防篡改控制,有客户购买价值 1 万元的产品,现有黑客通过技术手段,对客户提交的表单进行篡改,将 1 万元的价格改成 100 元,对公司造成了经济损失。
3、场景三
A 公司开发的开放 API 未进行接口安全控制,有黑客截取了客户的用户名,密码信息。黑客用客户的用户名,密码登录,查阅客户的相关隐私信息,盗刷了客户的信用卡,给客户造成了损失。
这三种常见未进行开放 API 接口校验的场景对公司以及客户造成损失的都是不可修补的,也反映了普遍开放式 API 接口存在的安全问题。那么,在编写开放 API 接口时如何保障数据传输安全性?
Golang 第三方库学习 · xlsx
介绍
xlsx 是对新版本的Excel进行简单读写操作的golang第三方库,支持的文件格式是.xlsx
源码
第三方库源码:https://github.com/tealeg/xlsx
本文源码:https://github.com/Chain-Zhang/third-lib
安装
go get github.com/tealeg/xlsx
Golang 源码解析 DetectContentType 检测文件类型
我们可以使用 golang 中的 net/http 包的来查找文件的内容类型或 mime 类型。
DetectContentType 函数实现了 http://mimesniff.spec.whatwg.org/ 描述的算法,用于确定数据的 Content-Type .
该函数会检查数据的前 512 字节,然后返回一个合法的 MIME 类型,例如 application/json 或类似 image/jpg .
如果不能确定数据的类型,将返回 "application/octet-stream" .
Docker概念与常用命令
什么是Docker?
- Docker是PaaS提供商dotCloud开源的基于LXC的,源代码托管在Github上的,基于Go语⾔言并遵从Apache2.0协议开源。
- Docker可以让开发者打包他们的应⽤用以及依赖包到⼀一个轻量量级、可移植的容器器中,然后发布到任何流行的Linux机器器上,也可以实现虚拟化。
- 容器器是完全使⽤用沙箱机制,相互之间不不会有任何接口(类似iPhone 的 app),更更重要的是容器器性能开销极低。
Docker的应用场景
- Web 应⽤用的⾃自动化打包和发布.
- 创建轻量、私有的PaaS环境.
- 自动化测试和持续集成(CI)/持续部署(CD).
- 部署并扩展Web应⽤用、数据库和后端服务器.