【web安全】API的安全策略
最近正在负责一个新平台的构建和开发,有一个场景须要对应用作新增,修改和撤回的操做
起先是由于以前写过类型的功能,不想在和之前同样一个操做类型一个api,以为代码太过冗余了。
因而有了如下的构思
-
初版
将当前界面全部api请求,合并成一个request,以type做为操做类型的区分,data为提交的数据
这样当前界面全部操做都使用一个接口来处理,而且问题统一处理前端- 处理token失效
- 处理catch
- 处理通讯成功后都通知
- 处理权限
-
优化版
当设计成初版后,我以为操做类型暴露在外面有些不妥,起先想的是后端生成随机码和对应的加密值,经过解密拿到方法名。
后来优化了一下,加入了url来源的判断,还能防止postman的攻击
后端代码以下:redisredisImp为redis utils为工具类 token和权限的检查放在了外层,进入方法的都当成token和权限经过的 const apiPrefix = 'ApiType:'; // 经过viewConfig生成对应配置 async function generateConfig (owner, viewConfig) { var viewName = viewConfig.name; // 界面名称 var viewMethods = viewConfig.methods; // 界面所支持的操做方法 let key = apiPrefix + owner + ':' + viewName; await redisImp.del(key); let para = [], config = [], secret = []; // 生成10个长度为12的随机码 for (var i = 0; i < 10; i++) { var randomKey = utils.generateRandomStr(12); config.push(randomKey); } // 生成三个10一下的数字 var random1 = Math.ceil(Math.random() * 10); var random2 = Math.ceil(Math.random() * 10); var random3 = Math.ceil(Math.random() * 10); // todo 检查3个随机数是否相等 var randomList = [random1, random2, random3]; // 生成随机码和操做方法的关联数据 viewMethods.forEach(function (value, index) { para.push(config[randomList[index]]); para.push(value); secret.push(randomList[index]); }) // aes加密 var enc = utils.cryptedAES(secret.toString()); let redisResult = await redisImp.hSet(key, para); if (redisResult.code === 200) { return { apis: config, secret: enc } } return null; } // 获取界面的配置 function getViewConfig (ctx) { var referer = ctx.request.header.referer; // 原始url var origin = ctx.request.header.origin; // 来源 var config; if (!referer || !origin) { // todo 处理异常访问 return config; } else { var fontUrl = referer.replace(origin, '').split('?'); // 去除domain和url参数后的路径 switch (fontUrl[0]) { case '/app/base': { config = { name: 'appBase', // 界面名称 methods: ['add', 'modify', 'retract'] // 界面操做权限 } break; } default: { // todo 处理异常攻击 } } } return config; } // 获取配置,暴露给前端的api接口 const getConfig = async (ctx) => { const fName = _name + 'getConfig'; lifecycleLog.info('[Enter] ' + fName); // 获取当前用户id const redisResult = await redis.GetTokenValue(ctx, 'id'); let owner; if (redisResult.code === 200) { owner = redisResult.data; } else { ctx.body = redisResult; return; } // 获取界面配置 var viewConfig = getViewConfig(ctx); if (viewConfig) { var result = await generateConfig(owner, viewConfig); if (result) { // 生成成功后返回给前端 ctx.body = Object.assign({code: 200}, result); } else { ctx.body = controller.dataError(); } } else { ctx.body = controller.dataError(); } lifecycleLog.info('[Return] ' + fName); } const appBase = require('./appBase') // 处理应用界面的接口 const handleAppBaseData = async (ctx) => { const fName = _name + 'handleAppBaseData'; lifecycleLog.info('[Enter] ' + fName); var viewConfig = getViewConfig(ctx); if (viewConfig) { const name = ctx.request.body.name; // 前端传过来的操做码 const para = ctx.request.body.data; // 前端传过来的数据 let data; try { data = JSON.stringify(para); } catch (err) { ctx.body = controller.dataError(); return; } // 验证数据完整性 if (controller.dataMissed(ctx, fName, ctx.request.body, name + data)) { return; } const redisResult = await redis.GetTokenValue(ctx, 'id'); let owner; if (redisResult.code === 200) { owner = redisResult.data; } else { ctx.body = redisResult; return; } // 从redis拿到当前用户在当前界面的操作类型 let apiType = await redisImp.hGet(apiPrefix + owner + ':' + viewConfig.name, name); if (apiType.code === 200) { if (apiType.data.length) { var methods = apiType.data[0]; // 添加操做 if (methods === 'add') { await appBase.add(ctx, para, owner); } else { let option = { _id: para._id, owner: owner }; // 检测该用户是否拥有该app const gameResult = await commonModel.getInfo(ctx, collection, option); if (gameResult) { if (gameResult.code === 200) { var gameDoc = gameResult.info['_doc']; } else { ctx.body = controller.dataError(); return; } } else { ctx.body = controller.serverError(); return; } // 修改操做 if (methods === 'modify') { await appBase.modify(ctx, para, gameDoc); } else if (methods === 'retract') { // 撤回炒做 await appBase.retract(ctx, gameDoc); } else { ctx.body = controller.dataError(); return; } } // 若是入库成功,则将新一轮的操做码反给前端 if (ctx.body.code === 200) { var result = await generateConfig(owner, viewConfig); ctx.body = Object.assign(ctx.body, result); } } else { ctx.body = controller.dataError(); } } else { ctx.body = controller.serverError(); } } else { ctx.body = controller.dataError(); } lifecycleLog.info('[Return] ' + fName); }- 这是返回的结构
- 这是返回的结构
前端就不上代码了,稍微说下应该都能明白
1. 进入界面的时候,请求getConfig
2. 前端拿到数据进行解密
3. 操做界面的时候,发送操做码和数据
4. 请求完成,拿到新的操做码进行本地更新,并对以前的操做做出反应(数据更新/界面跳转/弹框提示等)
- 延伸版
获取界面配置,能够放在一个任何界面都会访问的地方,统一处理,后端配好路由的url便可 - 解决/预防了哪些问题
1.代码冗余问题
2.爬虫问题(因为全部的操做入参都是动态返回且随机生成,爬虫们无法按着一个接口和数据爬取数据,增大了难度)
3.非正常的访问
以上就是我对API安全策略的想法,若有异议或新的方式欢迎评论留言。
相关文章
- 1. 安全策略
- 2. Web API 安全
- 3. Window 安全策略
- 4. linux安全策略!
- 5. Alamofire-安全策略
- 6. 线程安全性与安全策略
- 7. [ WWDC2018 ] - Web安全策略 Strategies for Securing
- 8. javascript 同源策略及web安全
- 9. web安全之同源策略
- 10. Web 安全以内容安全策略 (CSP)
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • Composer 安装与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 「插件」Runner更新Pro版,帮助设计师远离996
- 2. 错误 707 Could not load file or assembly ‘Newtonsoft.Json, Version=12.0.0.0, Culture=neutral, PublicKe
- 3. Jenkins 2018 报告速览,Kubernetes使用率跃升235%!
- 4. TVI-Android技术篇之注解Annotation
- 5. android studio启动项目
- 6. Android的ADIL
- 7. Android卡顿的检测及优化方法汇总(线下+线上)
- 8. 登录注册的业务逻辑流程梳理
- 9. NDK(1)创建自己的C/C++文件
- 10. 小菜的系统框架界面设计-你的评估是我的决策
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 安全策略
- 2. Web API 安全
- 3. Window 安全策略
- 4. linux安全策略!
- 5. Alamofire-安全策略
- 6. 线程安全性与安全策略
- 7. [ WWDC2018 ] - Web安全策略 Strategies for Securing
- 8. javascript 同源策略及web安全
- 9. web安全之同源策略
- 10. Web 安全以内容安全策略 (CSP)