前后端分离架构中的接口安全

互联网发展至今，已由传统的前后端统一架构演变为如今的前后端分离架构，最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成，前后端十分耦合，也不利于扩展。现在的前端分支很多，如：Web前端、Android端、IOS端，甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面，所有前端即可通用。

前后端的传输通过HTTP进行传输，也带来了一些安全问题，如果抓包、模拟请求、洪水攻击、参数劫持、网络爬虫等等。如何对非法请求进行有效拦截，保护合法请求的权益是这篇文章需要讨论的。

作者依据多年互联网后端开发经验，总结出了以下提升网络安全的方式：

采用HTTPS协议

密钥存储到服务端而非客户端，客户端应从服务端动态获取密钥

请求隐私接口，利用token机制校验其合法性

对请求参数进行合法性校验

对请求参数进行签名认证，防止参数被篡改

对输入输出参数进行加密，客户端加密输入参数，服务端加密输出参数

那么，下面我将对以上方式展开做详细说明。

HTTP VS HTTPS

普通的HTTP协议是以明文形式进行传输，不提供任何方式的数据加密，很容易解读传输报文。而HTTPS协议在HTTP基础上加入了SSL层，而SSL层通过证书来验证服务器的身份，并为浏览器和服务器之间的通信加密，保护了传输过程中的数据安全。

动态密钥的获取

对于可逆加密算法，是需要通过密钥进行加解密，如果直接放到客户端，那么很容易反编译后拿到密钥，这是相当不安全的做法，因此考虑将密钥放到服务端，由服务端提供接口，让客户单动态获取密钥，具体做法如下：

1、客户端先通过RSA算法生成一套客户端的公私钥对(clientPublicKey和clientPrivateKey)

2、调用getRSA接口，服务端会返回serverPublicKey

3、客户端拿到serverPublicKey后，用serverPublicKey作为公钥，clientPublicKey作为明文对clientPublicKey进行RSA加密，调用getKey接口，将加密后的clientPublicKey传给服务端，服务端接收到请求后会传给客户端RSA加密后的密钥

4、客户端拿到后以clientPrivateKey为私钥对其解密，得到最终的密钥，此流程结束。

（注：上述提到的所以数据均不能保存到文件里，必须保存到内存中，因为只有保存到内存中，黑客才拿不到这些核心数据，所以每次使用获取的密钥前先判断内存中的密钥是否存在，不存在，则需要获取。）

为了便于理解，我画了一个简单的流程图：

那么具体是如何实现的呢，请看代码：

接口请求的合法性校验

对于一些隐私接口（即必须要登录才能调用的接口），我们需要校验其合法性，即只有登录用户才能成功调用，具体思路如下：

1、调用登录或注册接口成功后，服务端会返回token（设置较短有效时间）和refreshToken（设定较长有效时间）

2、隐私接口每次请求接口在请求头带上token如header(“token”,token)，若服务端 返回403错误，则调用refreshToken接口获取新的token重新调用接口，若refreshToken接口继续返回403，则跳转到登录界面。

这种算法较为简单，这里就不写出具体实现了。

由于篇幅问题，剩余方式下篇会继续介绍，敬请期待！