如何設(shè)計一個安全的對外接口

作者：ksfzhaohui

my.oschina.net/OutOfMemory/blog/3131916

前言

最近有個項目需要對外提供一個接口，提供公網(wǎng)域名進(jìn)行訪問，而且接口和交易訂單有關(guān)，所以安全性很重要；這里整理了一下常用的一些安全措施以及具體如何去實現(xiàn)。
安全措施

個人覺得安全措施大體來看主要在兩個方面，一方面就是如何保證數(shù)據(jù)在傳輸過程中的安全性，另一個方面是數(shù)據(jù)已經(jīng)到達(dá)服務(wù)器端，服務(wù)器端如何識別數(shù)據(jù)，如何不被攻擊；下面具體看看都有哪些安全措施。

1.數(shù)據(jù)加密

我們知道數(shù)據(jù)在傳輸過程中是很容易被抓包的，如果直接傳輸比如通過http協(xié)議，那么用戶傳輸?shù)臄?shù)據(jù)可以被任何人獲取；所以必須對數(shù)據(jù)加密，常見的做法對關(guān)鍵字段加密比如用戶密碼直接通過md5加密；現(xiàn)在主流的做法是使用https協(xié)議，在http和tcp之間添加一層加密層(SSL層)，這一層負(fù)責(zé)數(shù)據(jù)的加密和解密；

1.1 實現(xiàn)措施

現(xiàn)在主流的加密方式有對稱加密和非對稱加密：

• 對稱加密：對稱密鑰在加密和解密的過程中使用的密鑰是相同的，常見的對稱加密算法有DES，AES；優(yōu)點是計算速度快，缺點是在數(shù)據(jù)傳送前，發(fā)送方和接收方必須商定好秘鑰，然后使雙方都能保存好秘鑰，如果一方的秘鑰被泄露，那么加密信息也就不安全了；

• 非對稱加密：服務(wù)端會生成一對密鑰，私鑰存放在服務(wù)器端，公鑰可以發(fā)布給任何人使用；優(yōu)點就是比起對稱加密更加安全，但是加解密的速度比對稱加密慢太多了；廣泛使用的是RSA算法；

兩種方式各有優(yōu)缺點，而https的實現(xiàn)方式正好是結(jié)合了兩種加密方式，整合了雙方的優(yōu)點，在安全和性能方面都比較好；

對稱加密和非對稱加密代碼實現(xiàn)，jdk提供了相關(guān)的工具類可以直接使用，此處不過多介紹；

關(guān)于https如何配置使用相對來說復(fù)雜一些，可以參考本人的之前的文章HTTPS分析與實戰(zhàn)

2.數(shù)據(jù)加簽

數(shù)據(jù)加簽就是由發(fā)送者產(chǎn)生一段無法偽造的一段數(shù)字串，來保證數(shù)據(jù)在傳輸過程中不被篡改；你可能會問數(shù)據(jù)如果已經(jīng)通過https加密了，還有必要進(jìn)行加強嗎？數(shù)據(jù)在傳輸過程中經(jīng)過加密，理論上就算被抓包，也無法對數(shù)據(jù)進(jìn)行篡改；但是我們要知道加密的部分其實只是在外網(wǎng)，現(xiàn)在很多服務(wù)在內(nèi)網(wǎng)中都需要經(jīng)過很多服務(wù)跳轉(zhuǎn)，所以這里的加簽可以防止內(nèi)網(wǎng)中數(shù)據(jù)被篡改；

2.1 實現(xiàn)措施

數(shù)據(jù)簽名使用比較多的是md5算法，將需要提交的數(shù)據(jù)通過某種方式組合和一個字符串，然后通過md5生成一段加密字符串，這段加密字符串就是數(shù)據(jù)包的簽名，可以看一個簡單的例子：

str：參數(shù)1={參數(shù)1}&參數(shù)2={參數(shù)2}&……&參數(shù)n={參數(shù)n}$key={用戶密鑰};
MD5.encrypt(str);

注意最后的用戶密鑰，客戶端和服務(wù)端都有一份，這樣會更加安全；

3.時間戳機(jī)制

數(shù)據(jù)是很容易被抓包的，但是經(jīng)過如上的加密，加簽處理，就算拿到數(shù)據(jù)也不能看到真實的數(shù)據(jù)；但是有不法者不關(guān)心真實的數(shù)據(jù)，而是直接拿到抓取的數(shù)據(jù)包進(jìn)行惡意請求；這時候可以使用時間戳機(jī)制，在每次請求中加入當(dāng)前的時間，服務(wù)器端會拿到當(dāng)前時間和消息中的時間相減，看看是否在一個固定的時間范圍內(nèi)比如5分鐘內(nèi)；這樣惡意請求的數(shù)據(jù)包是無法更改里面時間的，所以5分鐘后就視為非法請求了；

3.1 實現(xiàn)措施

解密后的數(shù)據(jù)，經(jīng)過簽名認(rèn)證后，我們拿到數(shù)據(jù)包中的客戶端時間戳字段，然后用服務(wù)器當(dāng)前時間去減客戶端時間，看結(jié)果是否在一個區(qū)間內(nèi)，偽代碼如下：

long interval=5*60*1000；//超時時間
long clientTime=request.getparameter("clientTime");
long serverTime=System.currentTimeMillis();
if(serverTime-clientTime>interval){
    return new Response("超過處理時長")
}

4.AppId機(jī)制

大部分網(wǎng)站基本都需要用戶名和密碼才能登錄，并不是誰來能使用我的網(wǎng)站，這其實也是一種安全機(jī)制；對應(yīng)的對外提供的接口其實也需要這么一種機(jī)制，并不是誰都可以調(diào)用，需要使用接口的用戶需要在后臺開通appid，提供給用戶相關(guān)的密鑰；在調(diào)用的接口中需要提供appid+密鑰，服務(wù)器端會進(jìn)行相關(guān)的驗證；

4.1 實現(xiàn)措施

生成一個唯一的AppId即可，密鑰使用字母、數(shù)字等特殊字符隨機(jī)生成即可；生成唯一AppId根據(jù)實際情況看是否需要全局唯一；但是不管是否全局唯一最好讓生成的Id有如下屬性：

• 趨勢遞增：這樣在保存數(shù)據(jù)庫的時候，使用索引性能更好；

• 信息安全：盡量不要連續(xù)的，容易發(fā)現(xiàn)規(guī)律；

關(guān)于全局唯一Id生成的方式常見的有類snowflake方式等；

5.限流機(jī)制

本來就是真實的用戶，并且開通了appid，但是出現(xiàn)頻繁調(diào)用接口的情況；這種情況需要給相關(guān)appid限流處理，常用的限流算法有令牌桶和漏桶算法；

5.1 實現(xiàn)措施

常用的限流算法包括：令牌桶限流，漏桶限流，計數(shù)器限流**

1.令牌桶限流

令牌桶算法的原理是系統(tǒng)以一定速率向桶中放入令牌，填滿了就丟棄令牌；請求來時會先從桶中取出令牌，如果能取到令牌，則可以繼續(xù)完成請求，否則等待或者拒絕服務(wù)；令牌桶允許一定程度突發(fā)流量，只要有令牌就可以處理，支持一次拿多個令牌；

2.漏桶限流

漏桶算法的原理是按照固定常量速率流出請求，流入請求速率任意，當(dāng)請求數(shù)超過桶的容量時，新的請求等待或者拒絕服務(wù)；可以看出漏桶算法可以強制限制數(shù)據(jù)的傳輸速度；

3.計數(shù)器限流

計數(shù)器是一種比較簡單粗暴的算法，主要用來限制總并發(fā)數(shù)，比如數(shù)據(jù)庫連接池、線程池、秒殺的并發(fā)數(shù)；計數(shù)器限流只要一定時間內(nèi)的總請求數(shù)超過設(shè)定的閥值則進(jìn)行限流；

具體基于以上算法如何實現(xiàn)，Guava提供了RateLimiter工具類基于基于令牌桶算法：

RateLimiter rateLimiter = RateLimiter.create(5);

以上代碼表示一秒鐘只允許處理五個并發(fā)請求，以上方式只能用在單應(yīng)用的請求限流，不能進(jìn)行全局限流；這個時候就需要分布式限流，可以基于redis+lua來實現(xiàn)；

6.黑名單機(jī)制

如果此appid進(jìn)行過很多非法操作，或者說專門有一個中黑系統(tǒng)，經(jīng)過分析之后直接將此appid列入黑名單，所有請求直接返回錯誤碼；

6.1 實現(xiàn)措施

如何為什么中黑我們這邊不討論，我們可以給每個用戶設(shè)置一個狀態(tài)比如包括：初始化狀態(tài)，正常狀態(tài)，中黑狀態(tài)，關(guān)閉狀態(tài)等等；或者我們直接通過分布式配置中心，直接保存黑名單列表，每次檢查是否在列表中即可；

7.數(shù)據(jù)合法性校驗

這個可以說是每個系統(tǒng)都會有的處理機(jī)制，只有在數(shù)據(jù)是合法的情況下才會進(jìn)行數(shù)據(jù)處理；每個系統(tǒng)都有自己的驗證規(guī)則，當(dāng)然也可能有一些常規(guī)性的規(guī)則，比如身份證長度和組成，電話號碼長度和組成等等；

7.1 實現(xiàn)措施

數(shù)據(jù)合法性校驗

合法性校驗包括：常規(guī)性校驗以及業(yè)務(wù)校驗

• 常規(guī)性校驗：包括簽名校驗，必填校驗，長度校驗，類型校驗，格式校驗等；

• 業(yè)務(wù)校驗：根據(jù)實際業(yè)務(wù)而定，比如訂單金額不能小于0等；

8. 總結(jié)

本文大致列舉了幾種常見的安全措施機(jī)制包括：數(shù)據(jù)加密、數(shù)據(jù)加簽、時間戳機(jī)制、AppId機(jī)制、限流機(jī)制、黑名單機(jī)制以及數(shù)據(jù)合法性校驗；當(dāng)然肯定有其他方式，歡迎補充。

其他

• MyBatis面試題集錦（精選）

• Redis面試題集錦（精選）

• RabbitMQ面試題集錦（精選）（另附思維導(dǎo)圖）

文末

歡迎關(guān)注個人微信公眾號：Coder編程
歡迎關(guān)注Coder編程公眾號，主要分享數(shù)據(jù)結(jié)構(gòu)與算法、Java相關(guān)知識體系、框架知識及原理、Spring全家桶、微服務(wù)項目實戰(zhàn)、DevOps實踐之路、每日一篇互聯(lián)網(wǎng)大廠面試或筆試題以及PMP項目管理知識等。更多精彩內(nèi)容正在路上~
也分享一些雜文~

文章收錄至
Github: https://github.com/CoderMerlin/coder-programming
Gitee: https://gitee.com/573059382/coder-programming

歡迎關(guān)注并star~

微信公眾號