API安全Checklist
API設計,測驗以及發布你的 API 的時候所需要核對的重要安全措施:
身份認證
- 不要使用
Basic Auth,請使用標準的認證協議(如 JWT,OAuth), - 不要重新實作
Authentication、token generating和password storing,請使用標準庫, - 限制密碼錯誤嘗試次數,并且增加賬號凍結功能,
- 加密所有的敏感資料,
JWT(JSON Web Token)
- 使用隨機復雜的密鑰(
JWT Secret)以增加暴力破解的難度, - 不要在請求體中直接提取資料,要對資料進行加密(
HS256或RS256), - 使 token 的過期時間盡量的短(
TTL,RTTL), - 不要在 JWT 的請求體中存放敏感資料,因為它是可解碼的,
OAuth 授權或認證協議
- 始終在后臺驗證
redirect_uri,只允許白名單的 URL, - 始終在授權時使用有效期較短的授權碼(code)而不是令牌(access_token)(不允許
response_type=token), - 使用隨機哈希數的
state引數來防止跨站請求偽造(CSRF), - 對不同的應用分別定義默認的作用域和各自有效的作用域引數,
訪問
- 限制流量來防止 DDoS 攻擊和暴力攻擊,
- 在服務端使用 HTTPS 協議來防止 MITM (中間人攻擊),
- 使用
HSTS協議防止 SSL Strip 攻擊,
輸入
- 使用與操作相符的 HTTP 操作函式,
GET(讀取),POST(創建),PUT(替換/更新)以及DELETE(洗掉記錄),如果請求的方法不適用于請求的資源則回傳405 Method Not Allowed, - 在請求頭中的
content-type欄位使用內容驗證來只允許支持的格式(如application/xml,application/json等等)并在不滿足條件的時候回傳406 Not Acceptable, - 驗證
content-type中申明的編碼和你收到正文編碼一致(如application/x-www-form-urlencoded,multipart/form-data,application/json等等), - 驗證用戶輸入來避免一些普通的易受攻擊缺陷(如
XSS,SQL-注入,遠程代碼執行等等), - 不要在 URL 中使用任何敏感的資料(
credentials,Passwords,security tokens,orAPI keys),而是使用標準的認證請求頭, - 使用一個 API Gateway 服務來啟用快取、限制訪問速率(如
Quota,Spike Arrest,Concurrent Rate Limit)以及動態地部署 APIs resources,
處理
- 檢查是否所有的介面都包含必要都身份認證,以避免被破壞了的認證體系,
- 避免使用特有的資源 id,使用
/me/orders替代/user/654321/orders, - 使用
UUID代替自增長的 id, - 如果需要決議 XML 檔案,確保物體決議(entity parsing)是關閉的以避免
XXE攻擊, - 如果需要決議 XML 檔案,確保物體擴展(entity expansion)是關閉的以避免通過指數物體擴展攻擊實作的
Billion Laughs/XML bomb, - 在檔案上傳中使用 CDN,
- 如果資料處理量很大,盡可能使用佇列或者 Workers 在后臺處理來避免阻塞請求,從而快速回應客戶端,
- 不要忘了把 DEBUG 模式關掉,
輸出
- 增加請求回傳頭
X-Content-Type-Options: nosniff, - 增加請求回傳頭
X-Frame-Options: deny, - 增加請求回傳頭
Content-Security-Policy: default-src 'none', - 洗掉請求回傳中的指紋頭 -
X-Powered-By,Server,X-AspNet-Version等等, - 在回應中遵循請求的
content-type,如果你的請求型別是application/json那么你回傳的content-type就是application/json, - 不要回傳敏感的資料,如
credentials,Passwords,security tokens, - 給請求回傳使用合理的 HTTP 回應代碼,(如
200 OK,400 Bad Request,401 Unauthorized,405 Method Not Allowed等等),
持續集成和持續部署
- 使用單元測驗以及集成測驗的覆寫率來保障你的設計和實作,
- 引入代碼審查流程,禁止私自合并代碼,
- 在推送到生產環境之前確保服務的所有組件都用殺毒軟體靜態地掃描過,包括第三方庫和其它依賴,
- 為部署設計一個回滾方案,
今天先到這兒,希望對云原生,技術領導力, 企業管理,系統架構設計與評估,團隊管理, 專案管理, 產品管管,團隊建設 有參考作用 , 您可能感興趣的文章:
領匯入怎樣帶領好團隊
構建創業公司突擊小團隊
國際化環境下系統架構演化
微服務架構設計
視頻直播平臺的系統架構演化
微服務與Docker介紹
Docker與CI持續集成/CD
互聯網電商購物車架構演變案例
互聯網業務場景下訊息佇列架構
互聯網高效研發團隊管理演進之一
訊息系統架構設計演進
互聯網電商搜索架構演化之一
企業資訊化與軟體工程的迷思
企業專案化管理介紹
軟體專案成功之要素
人際溝通風格介紹一
精益IT組織與分享式領導
學習型組織與企業
企業創新文化與等級觀念
組織目標與個人目標
初創公司人才招聘與管理
人才公司環境與企業文化
企業文化、團隊文化與知識共享
高效能的團隊建設
專案管理溝通計劃
構建高效的研發與自動化運維
某大型電商云平臺實踐
互聯網資料庫架構設計思路
IT基礎架構規劃方案一(網路系統規劃)
餐飲行業解決方案之客戶分析流程
餐飲行業解決方案之采購戰略制定與實施流程
餐飲行業解決方案之業務設計流程
供應鏈需求調研CheckList
企業應用之性能實時度量系統演變
如有想了解更多軟體設計與架構, 系統IT,企業資訊化, 團隊管理 資訊,請關注我的微信訂閱號:
![MegadotnetMicroMsg_thumb1_thumb1_thu[2]](https://img.uj5u.com/2021/06/20/245528200636311.jpg "MegadotnetMicroMsg_thumb1_thumb1_thu[2]")
作者:Petter Liu
出處:http://www.cnblogs.com/wintersun/
本文著作權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利,
該文章也同時發布在我的獨立博客中-Petter Liu Blog,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/288162.html
標籤:其他
上一篇:SVN報錯“Failed to run the WC DB work queue associated with”解決辦法