SpringBoot接口API有哪些不安全因素？如何对接口进行签名？如何确保接口安全？

本文共计1825个文字，预计阅读时间需要8分钟。

在SpringBoot开发后台API接口时，存在哪些不安全的接口因素？如何解决呢？

本文主要介绍API接口存在的不安全因素、常见的保障接口安全的措施，以及实践如何对接口进行安全防护。

一、API接口存在的不安全因素

1. 接口参数不安全 - 参数未进行校验 - 参数值未进行限制 - 参数未进行加密

2. 接口权限控制不严 - 接口未进行权限校验 - 接口权限控制逻辑有误

3. 接口数据传输不安全 - 数据传输未使用HTTPS - 数据传输未进行加密

4. 接口调用频率控制不严 - 接口未进行频率限制 - 频率限制逻辑有误

二、常见的保障接口安全的措施

1. 参数校验 - 对接口参数进行校验，确保参数符合预期格式 - 使用正则表达式校验字符串类型参数 - 对数字类型参数进行范围限制

2. 权限控制 - 对接口进行权限校验，确保用户有权限调用接口 - 使用Spring Security等框架进行权限控制

3. 数据传输加密 - 使用HTTPS进行数据传输加密 - 对敏感数据进行加密处理

4. 频率限制 - 对接口调用频率进行限制，防止恶意攻击 - 使用Redis等缓存技术实现频率限制

三、实践如何对接口进行安全防护

1. 使用Spring Security框架进行权限控制

2.对接口参数进行校验，确保参数符合预期格式

3.使用HTTPS进行数据传输加密

4.使用Redis等缓存技术实现频率限制

5.定期对接口进行安全审计，发现潜在风险

通过以上措施，可以有效提高SpringBoot后台API接口的安全性。

在以SpringBoot开发后台API接口时，会存在哪些接口不安全的因素呢？通常如何去解决的呢？本文主要介绍API接口有不安全的因素以及常见的保证接口安全的方式，重点实践如何对接口进行签名。@pdai

• SpringBoot接口 - API接口有哪些不安全的因素？如何对接口进行签名？
  • 准备知识点
    • API接口有哪些不安全的因素？
  • 常见的保证接口安全的方式？
    • AccessKey&SecretKey
    • 认证和授权
    • api.xxxx.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

      grant_type参数等于client_credentials表示client credentials方式，client_id是客户端id，client_secret是客户端密钥。

      返回token后，通过token访问其它接口。

      • 对于用户的认证和授权

      比如oauth2协议的授权码模式(authorization code)和密码模式(resource owner password credentials)

      api.xxxx.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID&scope=read

      grant_type参数等于password表示密码方式，client_id是客户端id，username是用户名，password是密码。

      (PS：password模式只有在授权码模式(authorization code)不可用时才会采用，这里只是举个例子而已)

      可选参数scope表示申请的权限范围。（相关开发框架可以参考spring security, Apache Shiro，SA-Token等）

      api.xxxx.com/token?key=value&timetamp=xxxx&sign=xxxx-xxx-xxx-xxxx

      服务器端接收到请求后，用同样的算法获得服务器的sign，对比客户端的sign是否一致，如果一致请求有效；如果不一致返回指定的错误信息。

      • 补充：对什么签名？
      1. 主要包括请求参数，这是最主要的部分，签名的目的要防止参数被篡改，就要对可能被篡改的参数签名；
      2. 同时考虑到请求参数的来源可能是请求路径path中，请求header中，请求body中。
      3. 如果对客户端分配了AppKey&AppSecret，也可加入签名计算；
      4. 考虑到其它幂等，token失效等，也会将涉及的参数一并加入签名，比如timestamp，流水号nonce等（这些参数可能来源于header）
      • 补充: 签名算法？

      一般涉及这块，主要包含三点：密钥，签名算法，签名规则

      1. 密钥secret： 前后端约定的secret，这里要注意前端可能无法妥善保存好secret，比如SPA单页应用；
      2. 签名算法：也不一定要是对称加密算法，对称是反过来解析sign，这里是用同样的算法和规则计算出sign，并对比前端传过来的sign是否一致。
      3. 签名规则：比如多次加盐加密等；

      PS：有读者会问，我们是可能从有些客户端获取密钥，算法和规则的（比如前端SPA单页应用生成的js中获取密钥，算法和规则），那么签名的意义在哪里？我认为签名是手段而不是目的，签名是加大攻击者攻击难度的一种手段，至少是可以抵挡大部分简单的攻击的，再加上其它防范方式（流水号，时间戳，token等)进一步提升攻击的难度而已。

      

      • 补充：签名和加密是不是一回事？

      严格来说不是一回事：

      1. 签名是通过对参数按照指定的算法、规则计算出sign，最后前后端通过同样的算法计算出sign是否一致来防止参数篡改的，所以你可以看到参数是明文的，只是多加了一个计算出的sign。

      2. 加密是对请求的参数加密，后端进行解密；同时有些情况下，也会对返回的response进行加密，前端进行解密；这里存在加密和解密的过程，所以思路上必然是对称加密的形式+时间戳接口时效性等。

      • 补充：签名放在哪里？

      签名可以放在请求参数中（path中，body中等），更为优雅的可以放在HEADER中，比如X-Sign（通常第三方的header参数以X-开头）

      • 补充：大厂开放平台是怎么做的呢？哪些可以借鉴？

      以腾讯开放平台为例，请参考腾讯开放平台第三方应用签名参数sig的说明

      实现案例

      本例子采用AOP拦截自定义注解方式实现，主要看实现的思路而已(签名的目的要防止参数被篡改，就要对可能被篡改的参数签名)。@pdai

      定义注解

      package tech.pdai.springboot.api.sign.config.sign; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * @author pdai */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface Signature { } AOP拦截

      这里可以看到需要对所有用户可能修改的参数点进行按规则签名

      package tech.pdai.springboot.api.sign.config.sign; import java.io.IOException; import java.nio.charset.StandardCharsets; import java.util.Map; import java.util.Objects; import javax.servlet.github.com/realpdai/tech-pdai-spring-demos

      更多内容

      告别碎片化学习，无套路一站式体系化学习后端开发: Java 全栈知识体系(pdai.tech)

      更多文章请参考 [Java 全栈知识体系](pdai.tech)