• 如何设计提高服务API的安全性(一)基础介绍


    场景

          现今越来越多公司提供了Sass平台服务,大部分也直接提供API。如快递鸟、微信Api、云服务。如何保证这些服务的安全性是一门重要的课题。如快递跟踪、机票查询等很便捷地影响着我们d的生活,对这些技术开发人员有更高的技术要求。不仅体现在并发量这些基础性问题,更多的是安全性。

          例如在云时代,我们需要使用云服务,会提供相应服务的密钥AccessKeyId与AccessKeySecret。再如如果你经常与微信公众号打交道的话,公众号也会提供对应Appid与AppSecret。

          所以服务安全性越来越重要,本文也针对如何设计服务API的安全性做一些详细的探讨与设计。

     

    需求

          现今我们对服务有此需求:公司/个人写了一个服务(支付服务、快递服务),需要把此服务面向公网,供所有人使用。使用我们的服务的厂商/个人,都需要注册我们的账号才能使用。

     

    前提

          本文的探讨服务有几个前提:1)你的服务需要部署在公网。2)有安全性要求。3)使用HTTPS,使用HTTP根本无安全性可言。

          本文讨论的重要在于如何提供给第三方应用安全性地访问API,不在于用户。如果是用户可查看OAuth2.0、JWT、OIDC的相关流程。

     

    打好基础

          在安全性,肯定离不开加密算法,下面来为大家打好算法基础。

    在理解这些服务API之前,先要了解相关加解密算法的分类与优缺点。加密算法分为可逆与不可逆。可逆是对明文进行加密后,可以反向解密得到明文。不可逆是只能加密得到密文,不能解密。

          不可逆加密一般应用于数字签名验证、密码保护、文件完整性。可逆算法一般应用于TCP请求。

          不可逆算法有:MD5、SHA、HMAC。

          可逆算法:RSA、DSA、ECC等。

    着重介绍不可逆算法

          不可逆算法有如下特点:

    1. 压缩性:任意长度的明文数据,单向加密后长度都是固定的。

    2. 抗修改性:修改明文,大部分情况下得到的结果都不一致。

    3. 性能快:对明文数据进行单向解密处理速度快。

    4. 抗碰撞性:很难找到不同的明文数据得出的加密结果一致。

    MD5

          MD5是最常见的不可逆算法,也称单向算法。经常被用作密码保存、文件验证等。例如我们下载一个文件,一般都会验证MD5来保证文件完整性。

          MD5加密无需輸入密钥,直接使用明文即可加密。MD5根据不同的算法可输出固定长度为16位或者32位长度的字符串。

    SHA

          SHA是安全散列算法,他包含五个算法:SHA-1、SHA-224、SHA-256、SHA-384、HA-512。这些算法根据安全性,越往后生成的hash长度越长。目前使用得最多得是SHA-1。

          它与MD5一样,无需密钥,直接使用明文即可加密。SHA比MD5安全,但相对性能慢一些。

    HMAC

          HMAC是哈希消息认证码。

          HMAC是从加盐而来,所以它有密钥。HMAC是通过明文数据与密钥加密,这点与MD5与SHA不同。它多了个密钥,此密钥可用加盐处理。

     

    服务API方式

    1.OAuth2.0

          OAuth2.0是最常用的API服务访问方式。它有四种方式:授权码、隐藏式、密码式、凭证式。

          如果过程中有需要第三方网页登陆授权的应用,可使用授权码、隐藏式。因为他们包含了回调url的参数验证。如果是第三方应用,则可用凭证式。对于现今的需求,可使用凭证式,但凭证式可不那么安全。

          至于OAuth2.0的详细介绍,这里做详细说明,因为网上很多资料。此篇文章的重点不在此方式。

    参考:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

    2. OpenID Connect

          也称为OICD,它是在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。他是基于用户的,本文不详细介绍。不适用当前的场景。

    参考:https://www.cnblogs.com/linianhui/p/openid-connect-core.html

    3. JWT

          JWT有三部分组成,分别为Header、Payload、Signature。

          Header头部包含了加密算法内容。Payload负载包含了传输过程中用到的数据,是用base64生成。最后一部分Signature是签名,可使用HS256、RS256生成,用来防止token payload被篡改。

          在服务API中,目前流行JWT的方式。JWT已经固定了很多的token key,所以一般用于有web客户端的用户账密登陆过程。

    4. API密钥

          这种方式我们讨论的重点。阿里云等各大云服务一般使用这种方式进行服务提供。

          先来看看阿里云的这种请求示例:

    GET /?prefix=xz02tphky6fjfiuc&max-keys=1 HTTP/1.1

    Date: Thu, 15 May 2014 11:18:32 GMT

    Host: oss-cn-hangzhou.aliyuncs.com

    Authorization: OSS nxj7dtwhcyl5hpvnhi:COS3OQkfQPnKmYZTEHYv2****

          可以看到,在请求Header消息头带上日期、密钥验证。下一篇文章,我们模仿这种来实现。我们首先一步步来讲解这种模式。

     

     

    可以关注本人的公众号,多年经验的原创文章共享给大家。

  • 相关阅读:
    Android入门第六篇之ListView
    谷歌Volley网络框架讲解——第一篇
    Android网络通信库Volley简介
    Android网络通信框架Volley的学习笔记
    SharedPreferences介绍
    Android之Adapter用法总结
    ANDROID SQLITEOPENHELPER详解
    RxJava、RxBus学习
    【原创】【Andriod】自定义多行多列视图
    [转]android笔记--Intent和IntentFilter详解
  • 原文地址:https://www.cnblogs.com/alunchen/p/11598051.html
Copyright © 2020-2023  润新知