糟糕,接口被刷了,怎么辦?
當前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
前言在面試時,經(jīng)常會被問一個問題:如何防止別人惡意刷接口? 這是一個非常有意思的問題,防范措施挺多的。今天這篇文章專門跟大家一起聊聊,希望對你會有所幫助。 1 防火墻防火墻是網(wǎng)絡(luò)安全中最基本的安全設(shè)備之一,主要用于防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問和攻擊。 防火墻可以防止的攻擊行為包括:
防火墻主要用于過濾和控制網(wǎng)絡(luò)流量,以保護網(wǎng)絡(luò)安全。 2 驗證碼對于一些非常重要的接口,在做接口設(shè)計的時候,要考慮惡意用戶刷接口的情況。 最早的用戶注冊接口,是需要用圖形驗證碼校驗的,比如下面這樣的: 其中賬號名稱作為用戶的唯一標識。 但有些圖形驗證碼比較簡單,很容易被一些暴力破解工具破解。 由此,要給圖形驗證碼增加難道,增加一些干擾項,增加暴力破解工具的難道。 但有個問題是:如果圖形驗證碼太復(fù)雜了,會對正常用戶使用造成一點的困擾,增加了用戶注冊的成本,讓用戶注冊功能的效果會大打折扣。 因此,僅靠圖形驗證碼,防止用戶注冊接口被刷,難道太大了。 后來,又出現(xiàn)了一種移動滑塊形式的圖形驗證方式,安全性更高。 發(fā)手機短信的功能,一般是購買的云服務(wù)廠商的短信服務(wù),按次收費,比如:發(fā)一條短信0.1元。 如果發(fā)送短信的接口,不做限制,被用戶惡意調(diào)用,可能會產(chǎn)生非常昂貴的費用。 3 鑒權(quán)對于有些查看對外的API接口,需要用戶登錄之后,才能訪問。 這種情況就需要校驗登錄了。 可以從當前用戶上下文中獲取用戶信息,校驗用戶是否登錄。 如果用戶登錄了,當前用戶上下文中該用戶的信息不為空。 否則,如果用戶沒登錄,則當前用戶上下文中該用戶的信息為空。 對于有些重要的接口,比如訂單審核接口,只有擁有訂單審核權(quán)限的運營賬號,才有權(quán)限訪問該接口。 我們需要對該接口做功能權(quán)限控制。 可以自定義一個權(quán)限注解,在注解上可以添加權(quán)限點。 在網(wǎng)關(guān)層有個攔截器,會根據(jù)當前請求的用戶的權(quán)限,去跟請求的接口的權(quán)限做匹配,只有匹配上次允許訪問該接口。 4 IP白名單對于有些非常重要的基礎(chǔ)性的接口,比如:會員系統(tǒng)的開通會員接口,業(yè)務(wù)系統(tǒng)可能會調(diào)用該接口開通會員。 會員系統(tǒng)為了安全性考慮,在設(shè)計開通會員接口的時候,可能會加一個ip白名單,對非法的服務(wù)器請求進行攔截。 這個ip白名單前期可以做成一個Apollo配置,可以動態(tài)生效。 如果后期ip數(shù)量多了的話,可以直接保存到數(shù)據(jù)庫。 只有ip在白名單中的那些服務(wù)器,才允許調(diào)用開通會員接口。 這樣即使開通會員接口地址和請求參數(shù)被泄露了,調(diào)用者的ip不在白名單上,請求開通會員接口會直接失敗。 除非調(diào)用者登錄到了某一個白名單ip的對應(yīng)的服務(wù)器,這種情況極少,因為一般運維會設(shè)置對訪問器訪問的防火墻。 當然如果用了Fegin這種走內(nèi)部域名的方式訪問接口,可以不用設(shè)置ip白名單,內(nèi)部域名只有在公司的內(nèi)部服務(wù)器之間訪問,外面的用戶根本訪問不了。 但對于一些第三方平臺的接口,他們更多的是通過設(shè)置ip白名單的方式保證接口的安全性。 5 數(shù)據(jù)加密以前很多接口使用的是HTTP(HyperText Transport Protocol,即超文本傳輸協(xié)議)協(xié)議,它用于傳輸客戶端和服務(wù)器端的數(shù)據(jù)。 雖說HTTP使用很簡單也很方便,但卻存在以下3個致命問題: 使用明文通訊,內(nèi)容容易被竊聽。 HTTPS協(xié)議是在HTTP協(xié)議的基礎(chǔ)上,添加了加密機制: SSL:它是Secure Socket Layer的縮寫, 表示安全套接層。 為了安全性考慮,我們的接口如果能使用HTTPS協(xié)議,盡量少使用HTTP協(xié)議。 如果你訪問過一些大廠的網(wǎng)站,會發(fā)現(xiàn)他們提供的接口,都是使用的HTTPS協(xié)議。 6 限流之前提到的發(fā)送短信接口,只校驗驗證碼還不夠,還需要對用戶請求做限流。 從頁面上的驗證碼,只能限制當前頁面的不能重復(fù)發(fā)短信,但如果用戶刷新了頁面,也可以重新發(fā)短信。 因此非常有必要在服務(wù)端,即:發(fā)送短信接口做限制。 我們可以增加一張短信發(fā)送表。 該表包含:id、短信類型、短信內(nèi)容、手機號、發(fā)送時間等字段。 有用戶發(fā)送短信請求過來時: 先查詢該手機號最近一次發(fā)送短信的記錄 但還是有漏洞。 比如:用戶知道在60秒以內(nèi),是沒法重復(fù)發(fā)短信的。他有個程序,剛好每隔60秒發(fā)一條短信。 這樣1個手機號在一天內(nèi)可以發(fā):60*24 = 1440 條短信。 如果他有100個手機號,那么一天也可以刷你很多條短信。 由此,還需要限制每天同一個手機號可以發(fā)的短信次數(shù)。 其實可以用redis來做。 用戶發(fā)短信之后,在redis中保存一條記錄,key是手機號,value是發(fā)短信的次數(shù),過期時間是24小時。 這樣在發(fā)送短信之前,要先查詢一下,當天發(fā)送短信的次數(shù)是否超過10次(假設(shè)同一個手機號一天最多允許發(fā)10條短信)。 如果超過10次,則直接提示用戶操作太頻繁,請稍后重試。 如果沒超過10次,則發(fā)送短信,并且把redis中該手機號對應(yīng)的value值加1。 短信發(fā)送接口完整的校驗流程如下: 7 監(jiān)控為了防止被別人惡意刷接口,對接口的調(diào)用情況進行監(jiān)控,是非常有必要的。 我們的程序中可以將用戶的請求記錄,打印到相關(guān)日志中。 然后有專門的程序,統(tǒng)計用戶接口的調(diào)用情況,如果發(fā)現(xiàn)有突增的流量,會自動發(fā)短信或者郵件提醒。 有了監(jiān)控之后,我們可以及時發(fā)現(xiàn)異常的用戶請求。 后面可以進行人工干預(yù)處理。 最近就業(yè)形式比較困難,為了感謝各位小伙伴對蘇三一直以來的支持,我特地創(chuàng)建了一些工作內(nèi)推群, 看看能不能幫助到大家。 你可以在群里發(fā)布招聘信息,也可以內(nèi)推工作,也可以在群里投遞簡歷找工作,也可以在群里交流面試或者工作的話題。 進群方式 添加蘇三的私人微信:su_san_java,備注:博客園+所在城市,即可加入。 8 網(wǎng)關(guān)為了保證我們接口的安全性,可以提供統(tǒng)一的API網(wǎng)關(guān),它可以實現(xiàn)過濾、鑒權(quán)、限流等功能。 用戶請求我們的API接口時,需要先經(jīng)過API網(wǎng)關(guān),它轉(zhuǎn)發(fā)請求到具體的API接口。 作者:蘇三說技術(shù),轉(zhuǎn)自博客園https://www.cnblogs.com/12lisu/p/18017367 該文章在 2024/2/18 11:46:18 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
