如何设计API接口请求接口时需要进行身份验证防止第三方随意调用接口

1. 如何设计API接口请求接口时需要进行身份验证防止第三方随意调用接口

跟登录验证一样啊，只是通过post或者get传过来的用户名密码，你还是要做校验和权限验证

2. java开发 Rest 接口怎样设计api_key 也就是我的api怎样才能不被自由访问，需要在header加入验证

以下仅供参考:
如果rest端要自己维护api_key,类似存储在数据库里,就分发(授权)给客户端某个api_key,然后客户端用api_key和一些其他条件如时间戳+签名去rest端换取一个token,最后客户端用这个token和rest端进行交互,可以参考下微信的oauth鉴权.

如果rest端不维护api_key,也就省去分发(授权)客户端api_key的工作,此时客户端用传递的参数和其他条件如时间戳+签名去rest端换取一个token..同上

上述所说的token都是唯一的,对于同一个客户端的请求而言,下次刷取token的时候,之前产生的token作废;
token本身应该要维持在rest端,也应该有一个过期的限制;
(参数)+(api_key)+时间戳 通过加密算法(如sha2)生成签名,rest端同逻辑校验签名是否合法一般就能卡掉一大部分的访问,
至于api_key或者token放在哪里,一般无状态访问比较常见是在head里(常见如angularjs项目),这里我觉得随意,因为只要被拦截都可见,只是head可以放比较多的东西用来障目就是了.

当然,如果正在用的token被拦截,同样也是可以随意访问的,因此可能要求https协议加证书应该会更牢固点(没试过);

一般就这样,再高的我也不懂了,如果陈述有什么问题,者有什么看法,也还请不吝赐教~

3. php如何防止第三方网站私自调用网站的后端接口

一般不用担心这个的，别人看不到你php的函数。如果非要做的话可以加
A.php:
define('Sign','123');
require_once('B.php');
B.php:
if(!defined('Sign')){
 echo '非法调用';
 return;
}
这个方法是B文件检测是否A文件存在Sign常量，也可以说是签名，有签名才能调用，没有签名就输出非法调用

4. 淘宝调用接口(API)时需要对请求参数进行签名验证。

根据参数的升序排序,连接起来,然后加上密钥进行MD5加密,产生SIgn用于数据安全校验,他们API那边也会以相同的方式加密,然后对比,一致的话,就通过,不一致的话,就拒绝访问.!

5. 如何防止公开接口被恶意调用

先定义一个简单的webapi，简单到差不多直接用vs2010自动生成的webapi代码。
其中的TestModle是一个简单的class，如下
public class TestModle
{
public string a { get; set; }
public string b { get; set; }
public string c { get; set; }
}

前端页面放四个代表get，post，put，delete的按钮，在加一个div显示返回值

前端代码中加载jquery，在定义四个按钮的click事件

get和post，我习惯用$.get和$.post，当然也能用$.ajax.
get直接返回webapi get的return值，post的话我就不在后端做处理了直接返回传入的值，这里只做示范

put和delete，只能用$.ajax来处理。
put的话一般用于update某个id的数据信息

delete用于删除某个id的数据，如下图所示

点击每个按钮，可以在页面上看到相应的效果

6. 如何设计API接口请求接口时需要进行身份验证防止第三方随意调用接口

1. 设定一个密钥比如key = ‘2323dsfadfewrasa3434'。 
2. 这个key 只有发送方和接收方知道。
3. 调用时，发送方，组合各个参数用密钥 key按照一定的规则(各种排序，MD5，ip等)生成一个access_key。一起post提交到API接口。
4. 接收方拿到post过来的参数以及这个access_key。也和发送一样，用密钥key 对各个参数进行一样的规则(各种排序，MD5，ip等)也生成一个access_key2。
5. 对比access_key 和access_key2 。一样。则允许操作，不一样，报错返回或者加入黑名单。

7. 调用webservice时，需要身份验证，如何实现？

当你的ID与PW发送一次后，也就是登陆了，在调用WebService的时候，可以过滤掉。不需要再通过这方面的验证。当然如果下线了也要有记录的。

8. java给别人提供接口，接口安全怎么保证

我们在开发过程中，肯定会有和第三方或者app端的接口调用。在调用的时候，下面的方法可以来防止非法链接或者恶意攻击。
一、签名
    根据用户名或者用户id，结合用户的ip或者设备号，生成一个token。在请求后台，后台获取http的head中的token，校验是否合法（和数据库或者Redis中记录的是否一致，在登录或者初始化的时候，存入数据库/redis）


在使用Base64方式的编码后，Token字符串还是有20多位，有的时候还是嫌它长了。由于GUID本身就有128bit，在要求有良好的可读性的前提下，很难进一步改进了。那我们如何产生更短的字符串呢？还有一种方式就是较少Token的长度，不用GUID，而采用一定长度的随机数，例如64bit，再用Base64编码表示：
    var rnd = new Random();    var tokenData = userIp+userId;    rnd.NextBytes(tokenData);    var token = Convert.ToBase64String(tokenData).TrimEnd('=');
由于这里只用了64bit，此时得到的字符串为Onh0h95n7nw的形式，长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的（如网盘的提取码）。
二、加密
   客户端和服务器都保存一个秘钥，每次传输都加密，服务端根据秘钥解密。
   客户端：
    1、设置一个key（和服务器端相同）
    2、根据上述key对请求进行某种加密（加密必须是可逆的，以便服务器端解密）
    3、发送请求给服务器
服务器端：
    1、设置一个key
    2、根据上述的key对请求进行解密（校验成功就是「信任」的客户端发来的数据，否则拒绝响应）
    3、处理业务逻辑并产生结果
    4、将结果反馈给客户端
三、第三方支持
  比如spring security－oauth