数据接口安全历程

之前由于业务需要，涉及到一些爬虫方面的工作， 发现一部分小众产品在数据接口中存在安全性问题， 接口可以被任意调用甚至可以修改一部分数据（没有一点安全措施啊）。为了不被‘祭天’。 所以就后台接口安全结合本人工作中对其的理解进行记录。

尤其现在大部分项目都是前后端分离， 后台接口安全更是重中之重。毕竟数据就是钱啊

Token 验证

Token验证是我在最开始做移动接口项目的时候用到的方式。

所谓Token验证就是 当用户使用账号和密码进行登录操作后， 服务端给客户端返回登录后的Token， 并将Token和登录用户在缓存服务器中进行关联(Redis)并对其设置时限(一般为30分钟), 随后客服端每次访问都需要将Token传到服务器端， 后台对Token进行验证， Token正确即通过验证

关键代码

//验证token
String token = request.getHeader("Token");
if(!jedisPoolService.exists(token)) 
  throw new TokenException("token is invalid");

Token验证 + 非法ip访问

但是上述方式只能判断当前Token是否存在， 但是如果存在的Token在做一些事情，就没法控制。(通过代码长时间调用该接口)

所以在Token验证的基础上加上了非法ip的判断:

IP黑名单：如果当前访问的ip在一段时间内(1分钟)访问次数超过我们限定的次数， 说明这个ip对应的访问存在问题, 那么禁止当前ip访问并将该ip添加到黑名单中

在访问接口之前， 判断ip是否ip黑名单中，如果在， 就禁止该ip访问

关键代码

//判断ip
String ip = GlobalUtil.getIpAddr(request);  //获取当前IP

if(jedisPoolService.sismember(IP_BLOCK, ip)) {
    throw new NoParamException("黑名单禁止访问");
}

//判断当前ip是否超过访问次数
String key = IP_KEY.replace("{key}", ip);
int count = StringUtil.toInteger(jedisPoolService.get(key) != null ? jedisPoolService.get(key) : 0);
if(count > MAX_COUNT) {
    jedisPoolService.putSet(IP_BLOCK, ip);
    throw new NoParamException("超过访问次数");
}

jedisPoolService.incrAtTime(key, MAX_COUNT);

Token + timestamp + sign签名 + 非法ip访问

在接触到很多第三方支付后，就尝试将自己的接口项目进行升级

在Token验证的基础上， 加上timestamp时间戳和sign签名。
约定timestamp时间戳和当前时间超过规定的范围(如：1分钟) 即判断当前访问的接口有误。

关于sign签名操作

• 将请求的参数进行排序 按照ASCII升序排列
• 将排序完成的参数按照key1=value1&key2=value2的形式进行拼接 (sign参数)
• 将拼接后的字符串进行MD5加密得到sign签名 (前后端可以进行约定进行适当的加盐)

关键代码

//时间戳
Object o = objectMap.get("timestamp");
if(o == null)
  throw new NoParamException("参数timestamp为空");

Long timestamp = StringUtil.toLong(o);
if (LocalDateUtils.nowTime().getTime() - timestamp >= 1 * 60 * 1000)
  throw new NoParamException("timestamp已过期");

//sign
private String getSign2Map(Map<String, Object> map) {
  StringBuffer sb = new StringBuffer();
  ArrayList<String> list = new ArrayList<String>(map.keySet());
  Collections.sort(list);

  for (String key : list) {
      Object value = map.get(key);
      if (!key.equalsIgnoreCase("sign"))
          sb.append(key).append("=").append(map.get(key)).append("&");
  }
  sb.deleteCharAt(sb.length() - 1);
  return DigestUtil.getInstance().md5(sb.toString());
}

大招 Token + timestamp + sign签名 + 非法ip访问 + Https

HTTPS: 基于HTTP协议，通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护

Https的成本略高, SSL证书需要购买申请，功能越强大的证书费用越高

点击这里， 查看免费申请SSL证书

上述方式能很大程度的保证接口安全，但是也不是一定安全 (无聊的人呢还是很多的)。-_-~~

预告

理论不等于实战，实际开发中还是有很多细节的东西需要完善。 下一节来具体实现下上述的方式