写点什么

呐,HTTP 接口安全的八种对策送给你了

作者:知识浅谈
  • 2022 年 8 月 24 日
    吉林
  • 本文字数:1270 字

    阅读完需:约 4 分钟

呐,HTTP接口安全的八种对策送给你了

🍁 作者:知识浅谈,CSDN 博客专家,阿里云签约博主,InfoQ 签约博主,华为云云享专家

📌 擅长领域:全栈工程师、爬虫、ACM 算法

💒 公众号:知识浅谈

🔥 联系方式 vx:zsqtcc


🤞呐,HTTP 接口安全的八种对策送给你了🤞


正菜来了⛳⛳⛳

🍮通信层面上 HTTPS 加密传输

作用:在通信层面使用 http+ssl 安全套接字进行传输。开发环境可以使用 http 传输,但是到了线上的生产环境要转换成 https 传输。



https:之所以能够安全的传输,因为通过非对称加密传递随机数,然后根据相同的加密算法使用随机数生成对称加密使用的密钥,之后数据传输的时候使用这个对称密钥。

🍮敏感数据加密传输

作用:关键数据自建加密规则防止泄露,通过非对称加密进行数据传输。敏感数据(密码、隐私内容)要做非对称加密非对称加密算法的执行过程:客户端申请请求,服务器发送公钥给客户端,客户端拿到公钥去给自己要传输的数据加密,讲加密后的数据传送到服务器,服务器用自己的密钥解密。



常见的非对称加密算法:RSA,Elgamal,Rabin 等。

🍮数据加签验签

作用:对提交数据增加签名防止数据在传输过程被修改有了 htps 等加密数据,为什么还需要加签验签有些小伙伴可能有疑问,加签验签主要是防止数据在传输过程中被篡改,那如果都用了 tts 下协议加密数据了,为什么还会被篡改呢?为什么还需要加签验签呢?数据在传输过程中被加密了,理论上,即使被抓包,数据也不会被篡改。但是 https7 不是绝对安全。还有一个点:https 加密的部分只是在外网,然后有很多服务是内网相互跳转的,加签也可以在这里保证不被中间人篡改,所以一般转账类安全性要求高的接口开发,都需要加签验签 JWT 的签名规则


🍮基于 Token 传输登录用户非敏感数据

作用点:前后端分离情况传递数据


🍮关键接口简历 nonce 防盗用机制

作用:预防请求被抓包盗用数据是很容易抓包的,假设我们用了 https 和加签,即使中间人抓到了数据报文,他也看不到真实的数据,但是有些不法者,他根本不关心真实的数据,而是直接抓到数据包,进行恶意请求(比如 DOS 攻击)。常用的解决办法:获取一个唯一标识机器的 id



  • Redis 新建 key :随机字符串,value:md5(客户端 user-agent/mac/ip/其他各种唯一标识),有效期 30 秒。

  • 在客户端获得之后提交的时候,服务器端先根据 nonstr 字符串提取用户环境 md5,然后使用相同规侧对当前发来的用户特征进行校对,只有用户环境完全没有发生变化的前提下才运行执行该接口

🍮限流机制,黑名单,白名单

静态控制

基于 API 网关(Nginx、Spring Cloud Gateway)等实现静态规则编制。


动态控制

基于 Alibab Sentinel Dashboard 实施动态规则



请求过来之后,会被 WebInteceptor 拦截,按照运维推送过来的规则进行过滤。

🍮数据脱敏放弃规律

使用无规律的掩码预防爬虫攻击 Eg:http://www.xxx.com/get/1.jpghttp://www.xxx.com/get/2.jpghttp://www.xxx.com/get/3.jpg业务允许前提下关键数据脱敏数据库返回:13133344785API 接口返回:131XXXXXX85

🍮数据后端校验

接口数据的安全性保证,简单来说就是参数校验,比如身份证长度,手机号长度,是否是数字等等,永远必要相信前台传来的数据是合规合法的

🍚总结

以上就是根据网上的整理学习做的总结,希望有所帮助。

发布于: 刚刚阅读数: 3
用户头像

知识浅谈

关注

公众号:知识浅谈 2022.06.22 加入

🍁 作者:知识浅谈,CSDN签约讲师,CSDN博客专家,华为云云享专家,阿里云社区专家博主 📌 擅长领域:全栈工程师、爬虫、ACM算法 💒 公众号:知识浅谈 🔥 联系方式vx:zsqtcc

评论

发布
暂无评论
呐,HTTP接口安全的八种对策送给你了_HTTP API_知识浅谈_InfoQ写作社区