该网站已经工信部认证联盟认证为可信网站,请放心访问
我们的口号:番禺网站建设用最便宜的钱,做最好的网站。
网站地图> 了解详情>
网站安全检测
身份证明信息
ICP备案审查
工商登记信息
业务资质许可
网站信用信息

新闻中心

专业专注专心,行业行情行规
分享交流,永无止境,我们愿与您共同进步

前后端分离的架构,如何保障 API 的安全?

发布日期:[2019/10/25]    编辑:pancaofu

如果是H5的话,随便开一个浏览器都可以清晰地看到前端向后端发送什么接口,数据格式大概是什么样子的。即便是App + https,也有办法刷到App到底调用了什么接口(所以没事不要root啊)。即使不是HTTP,而是某种自定义协议,也有办法反向工程(早年做过一点点破解ActiveSync协议的工作。如果你没听说过的话,也应该知道山寨Airpods也可以让iPhone弹框。这都是劳动人民智慧的结晶。)。所以如果“安全”=让别人无法知道后端接口是什么,那么无解。

如果“安全”=避免别人知道接口后玩命调用,压垮服务器,那么这涉及到流量清洗、反DDoS攻击等技术。这些技术不管做不做前后端分离,都是必要的,只要服务器对外开放接口就必然会面对。

如果“安全”=在别人知道接口是什么的情况下也不能非法调用,那么就得对“谁是合法用户“作判定。一般的方式是要用户登录,然后根据其登录信息决定其是否合法。但总会有接口是不登录就能用的(比如登录接口本身)。而且靠登录验证用户身份,实际上请求不管合不合法都已经触达到服务器了,请求瞎编一个access token也得服务器验证一下才知道非法嘛。因此靠这个来避免非法请求被调用是不现实的。

如果服务的用户是指定的机构,不对大众开放,那么可以用双向SSL认证。没有证书的访问在nginx那层就直接被挡掉了。但代价是得负责管理客户端证书的产生、发放和撤销。另外找个有好信誉的CA颁发证书。便宜没好货。

如果“安全”=避免XSS、CSRF、SQL注入之类的攻击,这也和是不是前后端分离无关。总是让外部数据被escape,使用CSRF Token能避免大部分问题。好好做好规范和代码检查即可。如果有资源,可以联系一下安全渗透公司帮着做做渗透攻击(但一定要挑声誉好的白帽子啊)。

如果“安全”=避免用户A看到/操作了用户B的数据。如果后端同学让这种事情发生了,那就别干这行了吧。


上一篇:给大家介绍一个好用的前端框架,亲自体验过。

返回列表

下一篇:单机到分布式集群

  • 2019-03-06 Node.js安装及环境配置之Windows篇...
  • 2019-02-15 给大家介绍一个好用的前端框架,亲自体验过。...
  • 2018-11-22 网站建设后如何优化URL链接...
  • 2019-01-30 域名可以登记经营场所,快看是怎么回事!...
  • 2018-11-22 新网站刚优化的时候进入沙盒期该怎么办...
  • 2018-11-22 什么样的网站建设内容适合现在的搜索引擎和用户...
  • 2018-11-22 还在用传统型网站?你的网站是时候转型了...
  • 2019-02-18 自定义微信小程序标题栏...
  • 2018-11-22 网站建设完成后为什么百度不收录网站...
  • 2019-03-06 Node.js安装及环境配置之Windows篇...
  • 2019-02-18 自定义微信小程序标题栏...
  • 2019-02-15 给大家介绍一个好用的前端框架,亲自体验过。...
  • 2019-01-30 域名可以登记经营场所,快看是怎么回事!...
  • 2018-12-19 【网站建设】公众号拉新的五种姿势...
  • 2018-12-19 【广州网站建设】建设网站用哪种语言比较好?...
  • 2018-11-27 php api接口安全设计 sign...
  • 2018-11-27 PHP做APP接口时,如何保证接口的安全性...
  • 2018-11-27 定制网站设计的流程是什么样的?...
  • 2018-11-27 会给我们提交多少方案供选择,如果方案不满意怎么办?...
  • 或者将本文《前后端分离的架构,如何保障 API 的安全?》
    复制本文《前后端分离的架构,如何保障 API 的安全?》地址给好友: