前后端分离架构中的接口安全

互联网发展至今,已由传统的前后端统一架构演变为如今的前后端分离架构,最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成,前后端十分耦合,也不利于扩展。现在的前端分支很多,如:Web前端、Android端、IOS端,甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面,所有前端即可通用。

前后端的传输通过HTTP进行传输,也带来了一些安全问题,如果抓包、模拟请求、洪水攻击、参数劫持、网络爬虫等等。如何对非法请求进行有效拦截,保护合法请求的权益是这篇文章需要讨论的。

作者依据多年互联网后端开发经验,总结出了以下提升网络安全的方式:

采用HTTPS协议

密钥存储到服务端而非客户端,客户端应从服务端动态获取密钥

请求隐私接口,利用token机制校验其合法性

对请求参数进行合法性校验

对请求参数进行签名认证,防止参数被篡改

对输入输出参数进行加密,客户端加密输入参数,服务端加密输出参数

那么,下面我将对以上方式展开做详细说明。

HTTP VS HTTPS

普通的HTTP协议是以明文形式进行传输,不提供任何方式的数据加密,很容易解读传输报文。而HTTPS协议在HTTP基础上加入了SSL层,而SSL层通过证书来验证服务器的身份,并为浏览器和服务器之间的通信加密,保护了传输过程中的数据安全。

动态密钥的获取

对于可逆加密算法,是需要通过密钥进行加解密,如果直接放到客户端,那么很容易反编译后拿到密钥,这是相当不安全的做法,因此考虑将密钥放到服务端,由服务端提供接口,让客户单动态获取密钥,具体做法如下:

1、客户端先通过RSA算法生成一套客户端的公私钥对(clientPublicKey和clientPrivateKey)

2、调用getRSA接口,服务端会返回serverPublicKey

3、客户端拿到serverPublicKey后,用serverPublicKey作为公钥,clientPublicKey作为明文对clientPublicKey进行RSA加密,调用getKey接口,将加密后的clientPublicKey传给服务端,服务端接收到请求后会传给客户端RSA加密后的密钥

4、客户端拿到后以clientPrivateKey为私钥对其解密,得到最终的密钥,此流程结束。

(注:上述提到的所以数据均不能保存到文件里,必须保存到内存中,因为只有保存到内存中,黑客才拿不到这些核心数据,所以每次使用获取的密钥前先判断内存中的密钥是否存在,不存在,则需要获取。)

为了便于理解,我画了一个简单的流程图:

那么具体是如何实现的呢,请看代码:

接口请求的合法性校验

对于一些隐私接口(即必须要登录才能调用的接口),我们需要校验其合法性,即只有登录用户才能成功调用,具体思路如下:

1、调用登录或注册接口成功后,服务端会返回token(设置较短有效时间)和refreshToken(设定较长有效时间)

2、隐私接口每次请求接口在请求头带上token如header(“token”,token),若服务端 返回403错误,则调用refreshToken接口获取新的token重新调用接口,若refreshToken接口继续返回403,则跳转到登录界面。

这种算法较为简单,这里就不写出具体实现了。

由于篇幅问题,剩余方式下篇会继续介绍,敬请期待!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180610G0H2A300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券