场景

现今越来越多公司提供了Sass平台服务,大部分也直接提供API。如快递鸟、微信Api、云服务。如何保证这些服务的安全性是一门重要的课题。如快递跟踪、机票查询等很便捷地影响着我们d的生活,对这些技术开发人员有更高的技术要求。不仅体现在并发量这些基础性问题,更多的是安全性。

例如在云时代,我们需要使用云服务,会提供相应服务的密钥AccessKeyId与AccessKeySecret。再如如果你经常与微信公众号打交道的话,公众号也会提供对应Appid与AppSecret。

所以服务安全性越来越重要,本文也针对如何设计服务API的安全性做一些详细的探讨与设计。

需求

现今我们对服务有此需求:公司/个人写了一个服务(支付服务、快递服务),需要把此服务面向公网,供所有人使用。使用我们的服务的厂商/个人,都需要注册我们的账号才能使用。

前提

本文的探讨服务有几个前提:1)你的服务需要部署在公网。2)有安全性要求。3)使用HTTPS,使用HTTP根本无安全性可言。

本文讨论的重要在于如何提供给第三方应用安全性地访问API,不在于用户。如果是用户可查看OAuth2.0、JWT、OIDC的相关流程。

打好基础

在安全性,肯定离不开加密算法,下面来为大家打好算法基础。

在理解这些服务API之前,先要了解相关加解密算法的分类与优缺点。加密算法分为可逆与不可逆。可逆是对明文进行加密后,可以反向解密得到明文。不可逆是只能加密得到密文,不能解密。

不可逆加密一般应用于数字签名验证、密码保护、文件完整性。可逆算法一般应用于TCP请求。

不可逆算法有:MD5、SHA、HMAC。

可逆算法:RSA、DSA、ECC等。

着重介绍不可逆算法

不可逆算法有如下特点:

1. 压缩性:任意长度的明文数据,单向加密后长度都是固定的。

2. 抗修改性:修改明文,大部分情况下得到的结果都不一致。

3. 性能快:对明文数据进行单向解密处理速度快。

4. 抗碰撞性:很难找到不同的明文数据得出的加密结果一致。

MD5

MD5是最常见的不可逆算法,也称单向算法。经常被用作密码保存、文件验证等。例如我们下载一个文件,一般都会验证MD5来保证文件完整性。

MD5加密无需輸入密钥,直接使用明文即可加密。MD5根据不同的算法可输出固定长度为16位或者32位长度的字符串。

SHA

SHA是安全散列算法,他包含五个算法:SHA-1、SHA-224、SHA-256、SHA-384、HA-512。这些算法根据安全性,越往后生成的hash长度越长。目前使用得最多得是SHA-1。

它与MD5一样,无需密钥,直接使用明文即可加密。SHA比MD5安全,但相对性能慢一些。

HMAC

HMAC是哈希消息认证码。

HMAC是从加盐而来,所以它有密钥。HMAC是通过明文数据与密钥加密,这点与MD5与SHA不同。它多了个密钥,此密钥可用加盐处理。

服务API方式

1.OAuth2.0

OAuth2.0是最常用的API服务访问方式。它有四种方式:授权码、隐藏式、密码式、凭证式。

如果过程中有需要第三方网页登陆授权的应用,可使用授权码、隐藏式。因为他们包含了回调url的参数验证。如果是第三方应用,则可用凭证式。对于现今的需求,可使用凭证式,但凭证式可不那么安全。

至于OAuth2.0的详细介绍,这里做详细说明,因为网上很多资料。此篇文章的重点不在此方式。

参考:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

2. OpenID Connect

也称为OICD,它是在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。他是基于用户的,本文不详细介绍。不适用当前的场景。

参考:https://www.cnblogs.com/linianhui/p/openid-connect-core.html

3. JWT

JWT有三部分组成,分别为Header、Payload、Signature。

Header头部包含了加密算法内容。Payload负载包含了传输过程中用到的数据,是用base64生成。最后一部分Signature是签名,可使用HS256、RS256生成,用来防止token payload被篡改。

在服务API中,目前流行JWT的方式。JWT已经固定了很多的token key,所以一般用于有web客户端的用户账密登陆过程。

4. API密钥

这种方式我们讨论的重点。阿里云等各大云服务一般使用这种方式进行服务提供。

先来看看阿里云的这种请求示例:

GET /?prefix=xz02tphky6fjfiuc&max-keys=1 HTTP/1.1

Date: Thu, 15 May 2014 11:18:32 GMT

Host: oss-cn-hangzhou.aliyuncs.com

Authorization: OSS nxj7dtwhcyl5hpvnhi:COS3OQkfQPnKmYZTEHYv2****

可以看到,在请求Header消息头带上日期、密钥验证。下一篇文章,我们模仿这种来实现。我们首先一步步来讲解这种模式。

可以关注本人的公众号,多年经验的原创文章共享给大家。

最新文章

  1. KindleEditor上传文件报404
  2. HA模式强制手动切换:IPC's epoch [X] is less than the last promised epoch [X+1]
  3. Android 开源项目维护者宣布退出
  4. POJ3267 The Cow Lexicon(DP+删词)
  5. 28335timer
  6. Linux命令-tar
  7. pthread_create用法
  8. QiQi and Symmerty
  9. js实现图片自动切换效果。
  10. VMdomainXml
  11. Android动态加载jar、apk的实现
  12. 一个基于JRTPLIB的轻量级RTSP客户端(myRTSPClient)——实现篇:(一)概览
  13. 删除链表的倒数第N个节点
  14. 信号量(Semaphore)
  15. NLP 第7章 文本向量化
  16. spass按位置编码,进行排序题处理与分析
  17. nodejs中async使用
  18. tomcat闪退
  19. SQL-结构化查询语言(2)
  20. Word模板中的表格处理

热门文章

  1. sqlalchemy(2)
  2. 201871010128-杨丽霞《面向对象程序设计(Java)》第十二周学习总结
  3. 201871010135 张玉晶《面向对象程序设计(java)》第十三周学习总结
  4. JVM 学习资料
  5. javascript高级实战学习
  6. Git分支管理(四)
  7. JDOJ 1162 是否闰年
  8. 关于c# 中读取系统内存大小的问题。
  9. 字段加密实践(django-fernet-fields)
  10. Codeforces Round #576 (Div. 1)