如何使用 Oauth 实现一个实现全球安全的方式 REST API 服务

来源:蜘蛛抓取(WebSpider) 时间:2017-07-24 05:03 标签: 实现全球安全的方式

在之前的文章两篇文章中中吔详细介绍,一般基于REST API 安全设计常用方式有:

API 客户端认证那些事

REST API 安全设计指南REST的全称是REpresentational State Transfer,它利鼡传统Web特点提出提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计

目前在三种主鋶的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲更加简洁,越来越多的web服务开始使用REST设计并实现但其缺少安全特性,《REST API 安全设計指南》就是一个REST API安全设计的指南权当抛砖引玉,推荐网站后台设计及网站架构师们阅读

REST的全称是REpresentational State Transfer,表示表述性无状态传输无需session,所以每次请求都得带上身份认证信息rest是基于http协议的,也是无状态的只是一种架构方式,所以它的安全特性都需我们自己实现没有现荿的。建议所有的请求都通过https协议发送RESTful web services 概念的核心就是“资源”。 资源可以用 URI 来表示客户端使用 HTTP 协议定义的方法来发送请求到这些 URIs,當然可能会导致这些被访问的”资源“状态的改变HTTP请求对应关系如下:

打开今日头条,查看更多精彩图片

服务端收到该请求后首先验證api_key,是否存在,存在则获取该api_key的security_key接着验证timestrap是否超过时间限制,可依据系统成而定这样就防止了部分重放攻击,途中的rest_api是从url获取的为/rest/v1/interface/eth0,最后計算sign值完之后和url中的sign值做校验。这样的设计就防止了数据被篡改 通过这种API Key的设计方式加了时间戳防止了部分重放,加了校验防止了數据被篡改,同时避免了传输用户名和密码当然了也会有一定的开销。

OAuth协议适用于为外部应用授权访问本站资源的情况其中的加密机淛与HTTP Digest身份认证相比,安全性更高使用和配置都比较复杂,这里就不涉及了

JWT 是JSON Web Token,用于发送可通过数字签名和认证的东西它包含一个紧湊的,URL实现全球安全的方式JSON对象服务端可通过解析该值来验证是否有操作权限,是否过期等安全性检查由于其紧凑的特点,可放在url中戓者 HTTP Authorization头中具体的算法就如下图

身份认证之后就是授权,根据不同的身份授予不同的访问权限。比如admin用户普通用户,auditor用户都是不同的身份简单的示例:

上述是垂直权限的处理,如果遇到了平行权限的问题如用户A获取用户B的身份信息或者更改其他用户信息,对于这些敏感数据接口都需要加上对用户的判断这一步一般都在具体的逻辑实现中实现。

在进入逻辑处理之前加入对URL的参数过滤,如

限定num位置為整数等如果不是参数则直接返回非法参数,设定一个url清单不在不在url清单中的请求直接拒绝,这样能防止开发中的api泄露rest api接口一般会鼡到GET,POST,PUT,DELETE,未实现的方法则直接返回方法不允许,对于POSTPUT方法的数据采用json格式,并且在进入逻辑前验证是否json不合法返回json格式错误。

第一步推荐SSL加密传输同时对于系统中重要的功能做加密传输,如证书一些数据,配置的备份功能同时还得确保具备相应的权限,这一步会在授權中涉及

请求速率限制,根据api_key或者用户来判断某段时间的请求次数将该数据更新到内存数据库(redis,memcached)达到最大数即不接受该用户的请求,同时这样还可以利用到内存数据库key在特定时间自动过期的特性在php中可以使用APC,Alternative PHP Cache (APC) 是一个开放自由的PHP opcode 缓存它的目标是提供一个自由、 开放,和健全的框架用于缓存和优化PHP的中间代码在返回时设置X-Rate-Limit-Reset:当前时间段剩余秒数,APC的示例代码如下:

对于非法的导致系统出错的等请求都进行记录,一些重要的操作如登录,注册等都通过日志接口输出展示有一个统一的出错接口,对于400系列和500系列的错误都有相应的錯误码和相关消息提示如401:未授权;403:已经鉴权,但是没有相应权限如不识别的url:

,非法参数等上面所说的都是单状态码,同时还有哆状态码表示部分成功,部分字符非法等示例如下:

8 重要ID不透明处理

在系统一些敏感功能上,比如/user/1123 可获取id=1123用户的信息为了防止字典遍历攻击,可对id进行url62或者uuid处理这样处理的id是唯一的,并且还是字符实现全球安全的方式

(1)请求数据,对于POST,DELETE方法中的数据都采用json格式当嘫不是说rest架构不支持xml,由于xml太不好解析对于大部分的应用json已经足够,近一些的趋势也是json越来越流行并且json格式也不会有xml的一些安全问题,如xxe使用json格式目前能防止扫描器自动扫描。 (2)返回数据统一编码格式统一返回类型,如Content-Type: application/json; charset=”UTF-8″ (3)在逻辑实现中json解码之后进行参数验证或者轉义操作,第一步json格式验证第二步具体参数验证基本上能防止大部分的注入问题了。 (4)在传输过程中采用SSL保证传输安全。 (5)存储安全重偠信息加密存储,如认证信息hash保存

总之,尽量使用SSL

REST的全称是REpresentational State Transfer表示表述性无状态传輸,无需session所以每次请求都得带上身份认证信息。rest是基于http协议的也是无状态的。只是一种架构方式所以它的安全特性都需我们自己实現,没有现成的建议所有的请求都通过https协议发送。

RESTful web services 概念的核心就是“资源” 资源可以用 URI 来表示。客户端使用 HTTP 协议定义的方法来发送请求到这些 URIs当然可能会导致这些被访问的”资源“状态的改变。HTTP请求对应关系如下:

对于请求的数据一般用json或者xml形式来表示推荐使用json。

┅个简单的设计示例如下:

服务端收到该请求后首先验证api_key,是否存在,存在则获取该api_key的security_key接着验证timestrap是否超过时间限制,可依据系统成而定这样就防止了部分重放攻击,途中的rest_api是从url获取的为/rest/v1/interface/eth0,最后计算sign值完之后和url中的sign值做校验。这样的设计就防止了数据被篡改

通过这种API Key的設计方式加了时间戳防止了部分重放,加了校验防止了数据被篡改,同时避免了传输用户名和密码当然了也会有一定的开销。

我要回帖

更多关于 实现全球安全的方式 的文章

 

随机推荐