【系统安全】浅谈保障接口安全的10种技术手段

接口安全是系统稳定亘古不变的道理,作为程序员可以从哪些方面下手呢?

注:因为一些原因,突然想总结接口安全的重要性。之前写过类似的文章,今天增加一些案例总结其应用场景。

1、接口传输加密,不单单依赖https的ssl证书。请求参数、返回结果加密, 如果系统改造成本较大,建议结果约定好密钥双向对称加密(比如AES)。针对核心资产数据,比如2c的商品库、楼盘库等,通过加密增加破解难度。现在fiddler 、charles抓包工具盛行,如果加密这块不上心,可能底裤被扒了个遍。

 为什么闲鱼放弃网页端,专注APP和小程序?一定程度原因,是因为网页端加解密算法在浏览器端,本身不安全,容易被竞争对手爬取二手物品。另外一个杭州的例子,公证处摇号查询之前接口是不加密的, 房小团(原名摇号助手)就是通过爬取摇号查询做小程序推广起家的,导致大家都知道房小团却很少知道公证处源头。 核心数据的隐私安全性至关重要。

2、数据加签验证,防止数据被篡改。同时公共参数增加appkey、appsret等参数,验证请求者身份, 类似支付宝开放接口。

数据加签:用Hash算法(比如md5)把原始请求参数生成报文摘要,然后用私钥对这个摘要进行加密,就得到这个报文对应的数字签名sign(这个过程就是加签)。通常来说呢,请求方会把数字签名和报文原文一并发送给接收方。

验签:接收方拿到原始报文和数字签名(sign)后,用同一个Hash算法(比如都用MD5)从报文中生成摘要A。另外,用对方提供的公钥对数字签名进行解密,得到摘要B,对比A和B是否相同,就可以得知报文有没有被篡改过。

appKey(appid)本身是一个身份验证,服务端通过给客户端颁发appKey,通过接口请求服务端就知道是哪个客户端做的请求,方便做流量监控,后续想做根据调用次数计费,或者限流,都有迹可循。计费、限流只是其中的一些应用场景,还有不少,这里就不一一细说。

3、 授权认证机制。通过appkey、appScret参数,生成一定时效的token, 防止token被截取。 这种处理接口安全的方式,你会发现微信、钉钉等开放接口类似这样的设计。

4、 增加timestamp + nonce校验。这种一般配合2或3使用。timestamp控制接口的时效性,保证接口参数被泄露,也很难频繁刷接口。 比如可以通过timestamp设置5分钟有效,超过5分钟接口请求无效。nonce可设置用完一次被销毁,多少时间不可重复传递(服务端可通过redis等缓存组件判断值appKey+nonce等是否存在,细节按照自己的要求设计)。

5、IP白名单, 针对接口服务调用服务,做ip白名单。 也许你有疑问,既然有了1,2,3了,为啥还要考虑ip白名单。  拿公司内部项目举例,人员离职变动不可避免, 假设某个核心技术人员知道加解密规则,是不是可以模拟做些事情。 加了ip白名单,一定程度可以避免这种事情的发生。

6、IP黑名单, 通过ecs服务器上配置安全组策略、或者iptables,把恶意攻击的ip加入黑名单。比如增加防爬策略,把经常爬取网站的机器ip封掉。

7、限流机制, 限流的方式大致计数器算法、漏桶算法、令牌桶算法。  用计数器、令牌桶做限流相对多一点,毕竟漏桶比较难解决突发流量。 如大名鼎鼎的Guava RateLimiter 就是令牌桶的实现,  简单限流也可以借助redis的 incr命令。

8、削峰机制,比如商品秒杀,可以通过MQ消息中间件削减部分压力。中小公司可能平时用不到,像12306、淘宝、微博这种大流量比较常见。

9、熔断机制,当服务请求过大, 对一些不重要的请求或后续请求 做熔断处理。阿里的Sentinel或Netflix的hystrix  框架就是解决这个场景,也可以根据实际的需求自行实现。

10、增加高级验证码, 比如一些手机号码注册等服务, 要考虑增加验证码(滑块或其他高级验证码)的方式,搭配ip策略,防止有人恶意批量轮询不同手机号码刷接口短信次数。 现在简单的图形验证码很容易被破解, 可以见我之前写的一篇文章。【python爬虫】图形验证码识别的几种技术实现方案。

随心记录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/740418.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

spring-boot操作elasticsearch

一、环境准备 springboot与elasticsearch的更新都非常快&#xff0c;为了避免兼容性问题&#xff0c;要注意下选择的版本问题。具体的可参考官网 --> springboot与elasticsearch版本兼容性 1.1导入依赖 <dependencies><dependency><groupId>org.spring…

深度学习基础知识之通道数channels

大多数的深度学习模型&#xff0c;模型上会展示图片的尺寸&#xff0c;如&#xff1a;352x352x3 这里面352x352表示的是像素大小&#xff0c;即高和宽都为352个像素&#xff0c;而3表示的是通道数&#xff0c;指输入的是3通道的RGB图像&#xff0c;每个颜色通道的取值范围为0-2…

中间件面试题之ElasticSearch

ElasticSearch相关面试题 此题是xx位面试题 (1)有两个机房,每个机房两台服务器,总共有4台服务器搭建的ES集群,怎么控制所有副本在一个机房或者某些节点里面。 可以通过打标签的形式,指定哪些索引的主分片在哪个节点上。 首先指定节点的类型: ## 指定节点类型 方式 …

在Ubuntu中如何基于conda安装jupyterlab

在Ubuntu中如何创建ipykernel 可以用下面命令完成 conda create -n newenv python3.8conda activate enwenvconda install ipykernel5.1.4conda install ipython_genutilsipython -m ipykernel install --user --namepython3 --display-name Python3conda install -c conda-fo…

k8s的pod和svc相互访问时网络链路解析

k8s的pod和svc相互访问时网络链路解析 1. k8s环境中pod相互访问1.1. k8s中pod相互访问的整体流程1.2. k8s的相同机器的不同pod相互访问1.3. k8s的不同机器的不同pod相互访问 3. k8s访问svc3.1 nat操作3.2 流量进入到后端pod 4. 疑问和思考4.1 访问pod相互访问为什么不用做nat?…

使用go开发的小tips

开启go modGOROOT是你下载的go编译器的目录。GOPATH的位置是Go开发的工作空间&#xff0c;比如可用于保存Go项目的代码和第三方依赖包。下载不了包多半是镜像源有问题&#xff0c;什么阿里七牛都试下go mod tidy可以拉取未下载的包&#xff0c;移除没用上的包进行web开发时热重…

服务器简单介绍

服务器简单介绍 从软件研究到了硬件&#xff08;伤心&#xff09;&#xff0c;需要学习的太多了。硬件从来不是我的爱好范畴&#xff0c;奈何最近的项目需要考虑和提出的方案需要考虑的挺多&#xff0c;一点点啃吧&#xff01;日记式逐步记下&#xff1a; 服务器分类 按计算器…

保研复习数据结构记(9)--基数排序

基数排序的过程&#xff1f;首先设置r个&#xff08;r&#xff1a;每个关键字位可以对应多少取值&#xff09;空队列&#xff0c;&#xff0c;按照各个关键字位权重递增的次序&#xff08;个、十、百&#xff09;&#xff0c;将d个元素&#xff08;关键字可以被拆分成d个部分&a…

YoloV8实战:YoloV8-World应用实战案例

摘要 YOLO-World模型确实是一个突破性的创新,它结合了YOLOv8框架的实时性能与开放式词汇检测的能力,为众多视觉应用提供了前所未有的解决方案。以下是对YOLO-World模型的进一步解读: 模型架构与功能 YOLO-World模型充分利用了YOLOv8框架的先进特性,并引入了开放式词汇检…

uView Collapse 折叠面板

通过折叠面板收纳内容区域 #平台差异说明 App&#xff08;vue&#xff09;App&#xff08;nvue&#xff09;H5小程序√√√√ #基本使用 <template><u-collapsechange"change"close"close"open"open"><u-collapse-itemtitle&…

使用node.js 开发后端的优缺点

node做后端的缺点是&#xff1a; 1.nodejs单线程&#xff0c;不能做cpu密集型操作&#xff0c;导致时间片不能释放&#xff0c;阻塞后面的任务。 2.nodejs可靠性比较低&#xff0c;一个地方报错会导致整个程序崩溃&#xff0c;需要守护进程或者docker重启来解决。 3.像使用多…

金枪鱼群优化算法TSO优化BiLSTM-ATTENTION实现风力发电功率预测(matlab)

金枪鱼群优化算法TSO优化BiLSTM-ATTENTION实现风力发电功率预测&#xff08;matlab&#xff09; TSO-BiLSTM-Attention金枪鱼群算法优化长短期记忆神经网络结合注意力机制的数据回归预测 Matlab语言。 金枪鱼群优化算法&#xff08;Tuna Swarm Optimization&#xff0c;TSO)是一…

生成式人工智能服务安全基本要求实务解析

本文尝试明晰《基本要求》的出台背景与实践定位&#xff0c;梳理《基本要求》所涉的各类安全要求&#xff0c;以便为相关企业遵循执行《基本要求》提供抓手。 引言 自2022年初以来&#xff0c;我国陆续发布算法推荐、深度合成与生成式人工智能服务相关的规范文件&#xff0c;…

丘一丘正则表达式

正则表达式(regular expression,regex,RE) 正则表达式是一种用来简洁表达一组字符串的表达式正则表达式是一种通用的字符串表达框架正则表达式是一种针对字符串表达“简洁”和“特征”思想的工具正则表达式可以用来判断某字符串的特征归属 正则表达式常用操作符 操作符说明实…

鸿蒙Harmony应用开发—ArkTS声明式开发(基础手势:Search)

搜索框组件&#xff0c;适用于浏览器的搜索内容输入框等应用场景。 说明&#xff1a; 该组件从API Version 8开始支持。后续版本如有新增内容&#xff0c;则采用上角标单独标记该内容的起始版本。 子组件 无 接口 Search(options?: { value?: string, placeholder?: Reso…

webpack5高级--02_提升打包构建速度

提升打包构建速度 一、HotModuleReplacement 为什么 开发时我们修改了其中一个模块代码&#xff0c;Webpack 默认会将所有模块全部重新打包编译&#xff0c;速度很慢。 所以我们需要做到修改某个模块代码&#xff0c;就只有这个模块代码需要重新打包编译&#xff0c;其他模…

混合云构建-VPN打通阿里云和Azure云

要在阿里云和Azure云之间通过VPN打通网络,您需要在两边分别设置VPN网关,并配置相应的连接和路由规则以确保两个云环境之间的网络流量可以互通。以下是一个基本的步骤指南: 为了更具体地说明如何在阿里云和Azure之间通过VPN打通网络,我们将通过一个简化的示例来演示整个过程…

ArcGIS JSAPI 学习教程 - ArcGIS Maps SDK for JavaScript 不同版本4.8-4.28(最新版)离线部署

ArcGIS JSAPI 学习教程 - ArcGIS Maps SDK for JavaScript 不同版本4.8-4.28&#xff08;最新版&#xff09;SDK离线部署 测试资源4.18 以及之前版本4.19 以及之后版本 接触一段时间 ArcGIS JSAPI 之后&#xff0c;整体感觉还好&#xff0c;后来需要解决不同版本问题&#xff0…

redis中通用命令以及key过期策略

通用命令 exists 判断某个key是否存在。 exists key时间复杂度&#xff1a;O(1) 返回值&#xff1a;key 存在的个数。 del 删除指定的 key&#xff0c;可以一次删除一个或者多个。 del key时间复杂度&#xff1a;O(1) 返回值&#xff1a;删除掉的 key 的个数。 expire…

数据结构·复杂度

目录 1 时间复杂度 2 大O渐进表示法 举例子&#xff08;计算时间复杂度为多少&#xff09; 3 空间复杂度 前言&#xff1a;复杂度分为时间复杂度和空间复杂度&#xff0c;两者是不同维度的&#xff0c;所以比较不会放在一起比较&#xff0c;但是时间复杂度和空间复杂度是用…