接口数据安全说明

我们开发过程编写接口时，除了要实现业务逻辑，安全性也是需要考虑的一部分。不仅要保证数据传输过程中的安全，还有考虑数据到达服务端时如何识别数据 ，最后就是数据存储的安全性 。

几种实现方式

（1）对称加密

• AES：Advanced Encryption Standard 高级加密标准，是下一代的加密算法标准，速度快，安全级别高。
• DES：Data Encryption Standard 数据加密标准，速度较快，适用于加密大量数据的场合。
• 3DES：Triple DES 是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高

（2）非称加密

• RSA：由 RSA公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；
• DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的DSS（数字签名标准）；
• DH(Diffie-Hellman算法，密钥一致协议)
• ECC（椭圆曲线加密算法）

（3）单向加密（非可逆加密）

• MD5：信息摘要算法
• SHA：安全散列算法
• HMAC:散列消息鉴别码

接口数据安全案例

敏感数据的安全存储(如 密码,手机号)

• 密码:
  要点: 无法逆向解密
  常用方式: 单向加密 + 盐(盐在后台生成)

• 手机,身份证等
  要点: 需要逆向解密获取
  常用方式: 对称加密

token授权认证机制

一般是带有身份认证的系统,主要的授权认证方案

• Redis
• JWT

数据加签验签

比如对接外部系统或者系统之间无同一套身份认证体系
数据报文加签验签，是保证数据传输安全的常用手段 ，它可以保证数据在传输过程中不被篡改 。以前我做的企业转账系统 ，就用了加签验签。

数据加签 ：用Hash算法（如MD5，或者SHA-256）把原始请求参数生成报文摘要，然后用私钥对这个摘要进行加密，就得到这个报文对应的数字签名

sign（这个过程就是加签 ）。通常来说呢，请求方会把数字签名和报文原文 一并发送给接收方。

下面可以看下简单的案例分析说明

参数如 ?amount=1000

-- 只有md5
参数 ?amount=1000&sign=md5(amount=1000)
1. 只改参数明文,如 ?amount=2000&sign=md5(amount=1000)
    NO-通过不了,sign不一样
2. 改明文并且也使用md5,如 ?amount=2000&sign=md5(amount=2000)
    OK-可以通过,这样非常不安全
    
-- md5+秘钥key(参数拼接一个秘钥key)
参数 ?amount=1000&sign=md5(amount=1000&key=keyabc)
1. 同样只改参数明文肯定不行
2. 改明文并且也使用md5,如 ?amount=2000&sign=md5(amount=2000)
    NO-伪造者拿不到这个key

-- md5+双向加密(sign为双向加密密文)(双向加密指对称加密或者非对称加密)
参数 ?amount=1000&sign=md5(aes(amount=1000, keyabc))
1. 同样只改参数明文肯定不行
2. 改明文并且也使用md5,如 ?amount=2000&sign=md5(amount=2000)
    NO-伪造者拿不到这个秘钥
    
当然,一般还会对sign做一下Base64编码

https

如果你想对所有字段都加密的话，一般都推荐使用https协议 。https其实就是在http和tcp之间添加一层加密层SSL。

有了https等加密数据，为什么还需要加签验签?

有些小伙伴可能有疑问，加签验签主要是防止数据在传输过程中被篡改，那如果都用了https下协议加密数据了，为什么还会被篡改呢？为什么还需要加签验签呢？

数据在传输过程中被加密了，理论上，即使被抓包，数据也不会被篡改。但是https不是绝对安全 的哦，还有一个点：https加密的部分只是在外网，然后有很多服务是内网相互跳转的，加签也可以在这里保证不被中间人篡改 ，所以一般转账类安全性要求高的接口开发，都需要加签验签

数据安全的几种优化

时间戳timestamp超时机制

数据是很容易抓包的，假设我们用了https和加签，即使中间人抓到了数据报文，它也看不到真实数据。但是有些不法者，他根本不关心真实的数据，而是直接拿到抓取的数据包，进行恶意请求（比如DOS攻击 ），以搞垮你的系统。

我们可以引入时间戳超时机制 ，来保证接口安全。就是：用户每次请求都带上当前时间的时间戳timestamp，服务端接收到timestamp后，解密，验签通过后，与服务器当前时间进行比对，如果时间差大于一定时间 (比如3分钟)，则认为该请求无效。

使用时间戳 timestamp+随机数nonce

时间戳超时机制也是有漏洞的，如果是在时间差内 ，黑客进行的重放攻击，那就不好使了。可以使用timestamp+nonce方案。

nonce指唯一的随机字符串，用来标识每个被签名的请求。我们可以将每次请求的nonce参数存储到一个“set集合”中，或者可以json格式存储到数据库或缓存中。每次处理HTTP请求时，首先判断该请求的nonce参数是否在该“集合”中，如果存在则认为是非法请求。

然而对服务器来说，永久保存nonce的代价是非常大的。可以结合timestamp来优化。因为timstamp参数对于超过3分钟的请求，都认为非法请求，所以我们只需要存储3分钟的nonce参数的“集合”即可。

限流机制

对于核心业务的接口，结合业务我们判断某一段时间内可以接受多少次请求。避免第三方恶意频繁调用接口，我们就可以采用限流机制。可以使用Guava的RateLimiter单机版限流，也可以使用Redis分布式限流，还可以使用阿里开源组件sentinel限流。

黑/白名单机制

系统可以设置黑白名单，设置黑名单限制恶意请求的用户或者IP，白名单对信任的用户或IP放心。我们在与第三方支付渠道对接时，比如银联，与他们接口进行交互时，需要先申请网络白名单，银联将我们业务系统的外网IP加入到他们的白名单中，我们才能访问他们的服务。

微信和支付宝

微信和支付宝采用的基本上都是数据加签验签的方式,并且都已封装到SDK中
当然也并不是只有一种方式,比如微信的微信支付一般采用的是 SHA + RSA, 微信服务号和小程序用的又是access_token的方式.
具体还得看对应文档