接口安全是系统稳定亘古不变的道理，作为程序员可以从哪些方面下手呢？

注：因为一些原因，突然想总结接口安全的重要性。之前写过类似的文章，今天增加一些案例总结其应用场景。

1、接口传输加密，不单单依赖https的ssl证书。请求参数、返回结果加密， 如果系统改造成本较大，建议结果约定好密钥双向对称加密（比如AES）。针对核心资产数据，比如2c的商品库、楼盘库等，通过加密增加破解难度。现在fiddler 、charles抓包工具盛行，如果加密这块不上心，可能底裤被扒了个遍。

 为什么闲鱼放弃网页端，专注APP和小程序？一定程度原因，是因为网页端加解密算法在浏览器端，本身不安全，容易被竞争对手爬取二手物品。另外一个杭州的例子，公证处摇号查询之前接口是不加密的， 房小团（原名摇号助手）就是通过爬取摇号查询做小程序推广起家的，导致大家都知道房小团却很少知道公证处源头。 核心数据的隐私安全性至关重要。

2、数据加签验证，防止数据被篡改。同时公共参数增加appkey、appsret等参数，验证请求者身份， 类似支付宝开放接口。

数据加签：用Hash算法（比如md5）把原始请求参数生成报文摘要，然后用私钥对这个摘要进行加密，就得到这个报文对应的数字签名sign（这个过程就是加签）。通常来说呢，请求方会把数字签名和报文原文一并发送给接收方。

验签：接收方拿到原始报文和数字签名（sign）后，用同一个Hash算法(比如都用MD5)从报文中生成摘要A。另外，用对方提供的公钥对数字签名进行解密，得到摘要B，对比A和B是否相同，就可以得知报文有没有被篡改过。

appKey（appid）本身是一个身份验证，服务端通过给客户端颁发appKey，通过接口请求服务端就知道是哪个客户端做的请求，方便做流量监控，后续想做根据调用次数计费，或者限流，都有迹可循。计费、限流只是其中的一些应用场景，还有不少，这里就不一一细说。

3、 授权认证机制。通过appkey、appScret参数，生成一定时效的token， 防止token被截取。 这种处理接口安全的方式，你会发现微信、钉钉等开放接口类似这样的设计。

4、 增加timestamp + nonce校验。这种一般配合2或3使用。timestamp控制接口的时效性，保证接口参数被泄露，也很难频繁刷接口。 比如可以通过timestamp设置5分钟有效，超过5分钟接口请求无效。nonce可设置用完一次被销毁，多少时间不可重复传递（服务端可通过redis等缓存组件判断值appKey+nonce等是否存在，细节按照自己的要求设计）。

5、IP白名单， 针对接口服务调用服务，做ip白名单。 也许你有疑问，既然有了1,2,3了，为啥还要考虑ip白名单。  拿公司内部项目举例，人员离职变动不可避免， 假设某个核心技术人员知道加解密规则，是不是可以模拟做些事情。 加了ip白名单，一定程度可以避免这种事情的发生。

6、IP黑名单， 通过ecs服务器上配置安全组策略、或者iptables，把恶意攻击的ip加入黑名单。比如增加防爬策略，把经常爬取网站的机器ip封掉。

7、限流机制， 限流的方式大致计数器算法、漏桶算法、令牌桶算法。  用计数器、令牌桶做限流相对多一点，毕竟漏桶比较难解决突发流量。 如大名鼎鼎的Guava RateLimiter 就是令牌桶的实现，  简单限流也可以借助redis的 incr命令。

8、削峰机制，比如商品秒杀，可以通过MQ消息中间件削减部分压力。中小公司可能平时用不到，像12306、淘宝、微博这种大流量比较常见。

9、熔断机制，当服务请求过大， 对一些不重要的请求或后续请求 做熔断处理。阿里的Sentinel或Netflix的hystrix  框架就是解决这个场景，也可以根据实际的需求自行实现。

10、增加高级验证码， 比如一些手机号码注册等服务， 要考虑增加验证码（滑块或其他高级验证码）的方式，搭配ip策略，防止有人恶意批量轮询不同手机号码刷接口短信次数。 现在简单的图形验证码很容易被破解， 可以见我之前写的一篇文章。【python爬虫】图形验证码识别的几种技术实现方案。

随心记录