API安全

web开发，如何保证api接口的安全?

 选择拦截过滤器

在请求的候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证请求不是非法请求

数据加密

目前大部分APP接口都是通过http协议进行调用的，容易被抓包拦截，可以对客户端和服务端都对数据传输的时候进行加密处理，常用的MD5 AES等。

token授权机制

用户使用用户名密码登录后服务器给客户端返回一个token（通常是uuid），并将token-user一键值对的形式存放在缓存服务器中。

服务端接收到请求后进行验证，如果token不存在说明请求无效，token是客户端访问服务端的凭证