接口安全怎么做？

API 接口是系统最大的攻击面——没有做好安全防护的 API 等于把数据库大门敞开。

五层防护

• HTTPS：所有 API 强制 HTTPS，防止中间人攻击和数据窃听
• Token 鉴权：JWT/OAuth2 令牌验证用户身份，过期自动刷新
• 签名验证：请求参数+时间戳+密钥签名，防止篡改和重放攻击
• 限流：单用户/单 IP 调用频率限制，防止暴力攻击和爬虫
• 日志审计：所有 API 调用记录（谁/什么时间/调了什么/参数/结果）

常见攻击方式

• 未授权访问：不带 Token 就能调用 → 需严格鉴权
• 越权访问：A 用户能看 B 用户数据 → 需数据级权限校验
• 重放攻击：截获请求重新发送 → 需时间戳+签名+幂等
• 暴力破解：高频尝试密码 → 需限流+验证码+锁定

聚匠能做什么

聚匠科技的 API 安全方案：JWT + 签名 + 限流 + CORS + 审计日志全覆盖，开发规范中强制执行。