面对没授权的访问,拒绝服务的攻击,以及窃取机密数据等攻击,企业要使用通用安全框架,来保护其后台不受到攻击,并保证良好的用户体验。从请求到后端,后端响应横断网络,最后返回给前端,这一系列过程,对于API接口保护方法,所以按这个过程大致可分为四种类型
1、保障传输中的数据安全。
1.1客户端到API网关安全
1.2 API网关与后端服务安全。
为了保证传输的数据安全,用到SSL/TLS,SSL是在在TCP与http之间加了可选层,利用数据加密技术,确保数据在网络上传输过程不会被截取,TLS是通讯协议,用于两个应用程序之间提供保密性和安全性,分为两部份,第一部份双方协商密钥,第二部份,定义传输的格式。
假设A和B想说悄悄话,不想让别人听到,怎么做呢?
A通过SSL通道对B讲:我想和你安全通话,我这里对称算法有DES、rc5,密钥交换有rsa,dh,摘要算法有md5、sha.
B:我们用des-rsa-sha组合好了,这里有我证书,里面有我的名字和公钥,你去验证下我身份(把证书给A)。
A用了ca的证书验证了B证书,确认了B的身份,原来真是他的情人,然后用B的公钥,生成秘密信息情书。
A:这是我给你的情书,有很多秘密信息,用你的公钥加过密了,只有你的私钥才能解开。(然后把情书给到B)
A和B情书信息就不会被人知道了。
2、访问控制与抵御拒绝服务(例如DDos攻击)
首先要识别是正常请求还是恶意攻击,一些管理平台会自动根据流量的大小、类别、来源等来识别各种可疑的行为,如apigee就是检测服务,识别出恶意攻击之后,就会策略保护API勉受恶意黑客的攻击,如限速、分流、扩容、CDN、正则保护、验证请求等等。
3、身份验证与授权。
识别可靠最终用户信息,例如用OAuth2.0,动态码,身份验证器,识别最终用户,授予已识别的用户访问某些资源的权限。
4、数据保密与屏蔽个人身份信息。
一些私有隐私的信息不应该出现在公众视野中,所以要对用户信息、密码、帐号、邮件、地址进行转码加密、访问控制、安全审计等手段来保护
