場景開放平台需要提供對外的介面,保障資料安全和客戶真實性
通過以上的設計,可以構建出乙個基本的安全架構
詳細設計如果大家使用過
wireshark或者fiddler之類的抓包工具,就知道資料在傳輸的過程中是很容易被抓包的,如果我們使用http協議來傳輸我們的資料,就跟裸奔是一樣的,明文資料全部暴露在了外面,所以成熟的解決方案是應該使用https協議傳輸,在我們的http層和tcp層增加ssl加密層,對傳輸資料進行加解密,甚至一些不需要明文處理的資料,可以直接通過hash+鹽或者其它不可逆的演算法來對資料進行傳輸,驗證只需要對比hash值即可
這裡的不可逆也不是絕對的,一般來講只能提高逆向的難度,比如彩虹表攻擊,舉個栗子: 乙個密文你需要十年的時間才能逆向出來明文,對於防護方來說,這是可以接受的,所以在傳統的安全對抗中,我們不能完全的低檔攻擊方,那這個時候換個思路,你可以攻破我,但你最少需要十年的時間
彩虹表攻擊:
彩虹表是乙個用於加密雜湊函式逆運算的預先計算好的表, 為破解密碼的雜湊值(或稱雜湊值、微縮圖、摘要、指紋、雜湊密文)而準備
外網有https,其實資料是沒必要再次簽名的,但是我們要考慮到資料傳輸不只是經過外網,還有內網,在內網傳輸這個過程中的安全保障就需要簽名機制
這樣設想一下,我們的資料傳輸都是密文,也有數字簽名來保障資料安全性,但是我抓到你的包後,我不管你的傳輸內容是什麼,我可以直接復用本次請求,來拿到你的響應內容,所以我們需要額外的增加時間戳機制,來驗證本次的請求是否為過期請求
時間戳機制可以和數字簽名配合使用,例如在請求中增加requesttimestamp欄位,增加數字簽名防止篡改,服務端收到租戶的請求後公鑰驗籤,進行時間戳的驗證,如果該請求是當前時間五分鐘之前的,則拒絕訪問
**會同步更新到easyboot專案中,具體的實現思路講解會同步到部落格,後續可以關注下~
安全架構設計
安全是個相對的,安全是一種平衡。隨著企業將更多的業務託管於混合雲之上,保護使用者資料和業務 變得更加困難。本地基礎設施和多種公 私有雲共同構成的複雜環境,使得使用者對混合雲安全有了更高的要求。混合雲安全能力體現在以下幾方面 網路和傳輸安全 通過安全域劃分 虛擬防火牆 vxlan 等軟體定義網路進行 ...
軟體架構設計 二 系統總體架構設計
系統總體架構非常重要,但在表達上都不盡相同,下面介紹幾種常用的系統架構模式,供參考 assf access service biz standard fundation 模式 訪問 服務 業務功能 標準 基礎,對系統架構各個層次均有表達,但部署應用模式需要有單獨說明,如下圖方式組織系統總體架構 lo...
軟體架構設計 二 系統總體架構設計
系統總體架構非常重要,但在表達上都不盡相同,下面介紹幾種常用的系統架構模式,供參考 assf access service biz standard fundation 模式 訪問 服務 業務功能 標準 基礎,對系統架構各個層次均有表達,但部署應用模式需要有單獨說明,如下圖方式組織系統總體架構 lo...