主要包括以下幾個方面:
認證:確保你的使用者或客戶端真的是他們自己。
授權:確保每個針對api的訪問都是經過授權的。
審計:確保所有的操作都被記錄,以便追溯和監控。
流控:防止使用者請求淹沒api。
加密:確保出入api的資料都是私密的。
下圖會對我們理解介面的安全機制有很大的幫助,最右面是我們提供的api,最左邊是使用者,在這二者之間需要我們加入安全機制。
加密貫穿始終:api中包含的資料必須是加密的。
測試點:對介面進行抓包處理,核心資料是必須加密的。需要跟研發人員確認加密演算法不能是常用的加密演算法。
流控:通過應用系統層面來防止黑客使用ddos攻擊,導致應用系統長時間不能響應正常使用者的訪問請求。
測試點:使用壓力測試工具(例如jmeter),某一時間段頻繁呼叫介面,看是否符合流控方案,例如:
1.一秒鐘同乙個ip可以呼叫幾次介面\請求多大頻寬
2.呼叫失敗後的響應資訊
3.ip是否加入黑名單
認證:使用cookie、session、token、金鑰等認證機制
測試點:
審計:通過對介面請求的日誌記錄,實現對非法請求的溯源
測試點:檢視呼叫api後,呼叫資訊是否被記錄在日誌中並且頻繁呼叫是否在日誌中記錄準確。
授權:一般通過使用acl訪問控制(通過給不同使用者訪問許可權實現)或使用rbac(基於使用者、角色、許可權關聯關係實現)。
測試點:不同角色是否具備api的使用許可權,例如普通使用者不能使用管理員專用的api
微服務介面細分安全領域DTO DO VO
需要掌握知識點 1 vo view object 檢視物件。用於展示層,它的作用是把某個指定頁面 或元件 的所有資料封裝起來。2 dto data transfer object 資料傳輸物件。主要用於外部介面引數傳遞封裝。公開給別人可以看到的一些字段 3 do domain object 領域物件...
微服務架構的安全
一 獲取token 授權中心 認證客戶端配置 設定clientid scop 型別等 配置使用者 讓我們的安全配置生效 測試獲取token 這裡的username 和password 是clientid和密碼前面配置的 成功返回 二 搭建資源伺服器並且訪問 1 讓訂單伺服器知道自己是oauth的資源...
微服務devops 用於微服務的安全DevOps
微服務devops 容器和微服務徹底改變了應用程式開發和基礎架構管理。他們還提出了新的安全挑戰,而沒有解決舊的挑戰。有哪些新的安全挑戰,您可以如何應對?微服務正在改變一切。不變的基礎架構,無共享架構和容器化應用程式 微服務 是當今大多數企業路線圖的重點。微服務提供了一種以小型,自治且可自我維持的能力...