如何设计提高服务API的安全性(一)基础介绍

场景

      现今越来越多公司提供了Sass平台服务,大部分也直接提供API。如快递鸟、微信Api、云服务。如何保证这些服务的安全性是一门重要的课题。如快递跟踪、机票查询等很便捷地影响着我们d的生活,对这些技术开发人员有更高的技术要求。不仅体现在并发量这些基础性问题,更多的是安全性。

      例如在云时代,我们需要使用云服务,会提供相应服务的密钥AccessKeyId与AccessKeySecret。再如如果你经常与微信公众号打交道的话,公众号也会提供对应Appid与AppSecret。

      所以服务安全性越来越重要,本文也针对如何设计服务API的安全性做一些详细的探讨与设计。

 

需求

      现今我们对服务有此需求:公司/个人写了一个服务(支付服务、快递服务),需要把此服务面向公网,供所有人使用。使用我们的服务的厂商/个人,都需要注册我们的账号才能使用。

 

前提

      本文的探讨服务有几个前提:1)你的服务需要部署在公网。2)有安全性要求。3)使用HTTPS,使用HTTP根本无安全性可言。

      本文讨论的重要在于如何提供给第三方应用安全性地访问API,不在于用户。如果是用户可查看OAuth2.0、JWT、OIDC的相关流程。

 

打好基础

      在安全性,肯定离不开加密算法,下面来为大家打好算法基础。

在理解这些服务API之前,先要了解相关加解密算法的分类与优缺点。加密算法分为可逆与不可逆。可逆是对明文进行加密后,可以反向解密得到明文。不可逆是只能加密得到密文,不能解密。

      不可逆加密一般应用于数字签名验证、密码保护、文件完整性。可逆算法一般应用于TCP请求。

      不可逆算法有:MD5、SHA、HMAC。

      可逆算法:RSA、DSA、ECC等。

着重介绍不可逆算法

      不可逆算法有如下特点:

1. 压缩性:任意长度的明文数据,单向加密后长度都是固定的。

2. 抗修改性:修改明文,大部分情况下得到的结果都不一致。

3. 性能快:对明文数据进行单向解密处理速度快。

4. 抗碰撞性:很难找到不同的明文数据得出的加密结果一致。

MD5

      MD5是最常见的不可逆算法,也称单向算法。经常被用作密码保存、文件验证等。例如我们下载一个文件,一般都会验证MD5来保证文件完整性。

      MD5加密无需輸入密钥,直接使用明文即可加密。MD5根据不同的算法可输出固定长度为16位或者32位长度的字符串。

SHA

      SHA是安全散列算法,他包含五个算法:SHA-1、SHA-224、SHA-256、SHA-384、HA-512。这些算法根据安全性,越往后生成的hash长度越长。目前使用得最多得是SHA-1。

      它与MD5一样,无需密钥,直接使用明文即可加密。SHA比MD5安全,但相对性能慢一些。

HMAC

      HMAC是哈希消息认证码。

      HMAC是从加盐而来,所以它有密钥。HMAC是通过明文数据与密钥加密,这点与MD5与SHA不同。它多了个密钥,此密钥可用加盐处理。

 

服务API方式

1.OAuth2.0

      OAuth2.0是最常用的API服务访问方式。它有四种方式:授权码、隐藏式、密码式、凭证式。

      如果过程中有需要第三方网页登陆授权的应用,可使用授权码、隐藏式。因为他们包含了回调url的参数验证。如果是第三方应用,则可用凭证式。对于现今的需求,可使用凭证式,但凭证式可不那么安全。

      至于OAuth2.0的详细介绍,这里做详细说明,因为网上很多资料。此篇文章的重点不在此方式。

参考:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

2. OpenID Connect

      也称为OICD,它是在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。他是基于用户的,本文不详细介绍。不适用当前的场景。

参考:https://www.cnblogs.com/linianhui/p/openid-connect-core.html

3. JWT

      JWT有三部分组成,分别为Header、Payload、Signature。

      Header头部包含了加密算法内容。Payload负载包含了传输过程中用到的数据,是用base64生成。最后一部分Signature是签名,可使用HS256、RS256生成,用来防止token payload被篡改。

      在服务API中,目前流行JWT的方式。JWT已经固定了很多的token key,所以一般用于有web客户端的用户账密登陆过程。

4. API密钥

      这种方式我们讨论的重点。阿里云等各大云服务一般使用这种方式进行服务提供。

      先来看看阿里云的这种请求示例:

GET /?prefix=xz02tphky6fjfiuc&max-keys=1 HTTP/1.1

Date: Thu, 15 May 2014 11:18:32 GMT

Host: oss-cn-hangzhou.aliyuncs.com

Authorization: OSS nxj7dtwhcyl5hpvnhi:COS3OQkfQPnKmYZTEHYv2****

      可以看到,在请求Header消息头带上日期、密钥验证。下一篇文章,我们模仿这种来实现。我们首先一步步来讲解这种模式。

 

 

可以关注本人的公众号,多年经验的原创文章共享给大家。

你可能感兴趣的:(如何设计提高服务API的安全性(一)基础介绍)