REST API 的安全基礎

2019-12-31 16:56:00 程序員BUG

來源：blog.biezhi.me/2019/01/rest-security-basics.html

REST 是一種現代架構風格，它定義了一種設計 Web 服務的新方法。和之前的 HTTP 以及 SOA 不同，它不是一個協議（即：一套嚴格的規則），而是一些關於 Web 服務應該如何相互通信的一些建議和最佳實踐。按照 REST 最佳實踐開發的服務被稱為 “RESTful Web 服務”。

安全性是 RESTful 服務的基石。啟用它的方法之一是儘可能內置用戶身份驗證和授權機制。

在 RESTful 服務中實現用戶身份驗證和授權的方法有很多。我們今天要講的主要方法（或標準）有：

Basic 認證
OAuth 2.0
OAuth 2.0 + JWT

為了讓我們的討論更加具體，假設我們的後端程序有微服務，並且每個用戶請求時，必須調用後端的幾個服務來返回請求的數據。所以，我們將不僅從安全性問題方面，而且在它們產生的額外流量和服務器負載的背景下檢查每個標準。下面開始吧…

Basic 認證

最古老也是最簡單的標準。

看起來像： 用戶名 + 密碼 + Base64（對用戶名和密碼做哈希的基礎算法）。

工作原理：加入有人嘗試登錄用戶的 Fackbook 賬戶，去訪問他的消息、歷史記錄、群組信息，這些都是獨立的服務。當用戶輸入用戶名和密碼後，系統會允許登錄。但是，默認情況下，系統不知道用戶的角色和權限是什麼，他們可以訪問哪些服務等等。

所以每次用戶嘗試訪問任何一個服務的時候，系統都應該再次驗證是否允許執行這個操作，這意味著需要對身份驗證進行額外的調用。就我們的示例中有四個服務而言，在這種情況下，每個用戶將有四個額外的調用。

現在假設每秒有 3k 個請求，在 Facebook 的系統中每秒 300k 請求更現實。將這請求乘以四，結果是每秒要向服務器發出 12k 次調用。

總結：可伸縮性差，大量的額外流量（額外調用）沒有帶來業務價值，服務器的負載很大。

OAuth 2.0

看起來像：用戶名 + 密碼 + 訪問令牌 + 過期令牌

工作原理：OAuth 2.0 標準的核心思想是，用戶使用用戶名和密碼登錄系統後，客戶端（用戶訪問系統的設備）會收到一對令牌，這是一個訪問權限令牌和刷新令牌。

訪問令牌用於訪問系統中的所有服務。到期後，系統使用刷新令牌生成一對新的令牌。所以，如果用戶每天都進入系統，令牌也會每天更新，不需要每次都用用戶名和密碼登錄系統。刷新令牌也有它的過期時間（雖然它比訪問令牌長得多），如果一個用戶一年沒有進入系統，那麼很可能會被要求再次輸入用戶名和密碼。

OAuth 2.0 標準取代了基本的身份驗證方法，它具有一定的優勢，例如用戶每次想要進入系統時不用輸入用戶名和密碼。但是，系統仍然需要調用身份驗證服務器，就像使用基本身份驗證方法時一樣，以檢查擁有該令牌的用戶有權限做什麼。

假設有效期是一天。這意味著登錄服務器上的負載要少得多，因為用戶每天只需要輸入一次憑證，而不是每次都要進入系統。但是，系統仍需要驗證每個令牌並檢查用戶角色的存儲狀態。所以我們最終還要調用身份驗證服務器。

總結：和 Basic 驗證有相同的問題 - 可伸縮性差，身份驗證服務器負載較高。

OAuth2 + JSON Web 令牌

看起來像：用戶名 + 密碼 + JSON數據 + Base64 + 私鑰 + 到期日期

工作原理：當用戶第一次使用用戶名和密碼登錄系統時，系統不僅會返回一個訪問令牌（只是一個字符串），而是一個包含所有用戶信息的 JSON 對象，比如角色和權限，使用 Base64 進行編碼並使用私鑰簽名。下圖是它在沒有編碼的情況下的樣子：

看起來很可怕，但這確實有效！主要區別在於我們可以在令牌中存儲狀態，而服務保持無狀態。這意味著用戶自己擁有自己的信息，不需要額外的調用來檢查它，因為所有的內容都在令牌裡。這對於減少服務器負載方面是一個很大的優勢。這個標準在世界範圍內得到廣泛應用。

總結：良好的可伸縮性，可以和微服務一起工作。

新玩意：亞馬遜簽名方式

一種全新的，奇特的方法，稱為 HTTP 簽名，亞馬遜是目前使用它的大廠之一。

它的思路是，當你創建亞馬遜帳戶的時候，會生成一個永久的、非常安全的訪問令牌，你要非常小心地存儲起來並且不要給任何人顯示。當你要從 Amazon 請求某些資源時，你可以獲取到所有相關的 http 頭信息，使用這個私鑰對其進行簽名，然後將簽名的字符串作為 header 發送。

在服務器端，亞馬遜也有你的訪問密鑰。它們接下來做什麼？只需要使用你的 http 頭信息和這個密鑰進行簽名。然後將簽名字符串和你作為簽名的字符串進行比較；如果相同那麼就知道你是誰。

最大的好處是你只需要發送一次用戶名和密碼 - 就可以獲得令牌。至於使用私鑰簽名的 header 信息，基本上沒有機會對它們進行編碼。就算有人截獲了信息——誰在乎呢 ;）

英文原文：https://yellow.systems/blog/rest-security-basics

分享到:

閱讀更多 程序員BUG 的文章

關鍵字: 設計 Facebook 之前

Vue 3 Composition API 實戰前瞻

Api 簽名算法

分享一個免費開源的前後端開發的接口文檔管理系統CRAP-API

2020年10個有用的Web API

API 文檔作者最好親自測試文檔

02.26 API 文檔作者最好親自測試文檔

java接入高德地圖常用WEB API

使用從細粒度更改中進行統計學習的 API 代碼推薦

帶有具體參數的通用 API 使用代碼推薦

API 設計原則

如何設計出優美的Web API？

一文教會你使用JAVA8 Stream API

一文帶你看懂什麼是RESTful API

12.21 一文帶你看懂什麼是RESTful API

12.14 哪個Python框架最適合構建RESTful API？Django還是Flask？

哪個Python框架最適合構建RESTful API？Django還是Flask？

12.01 用中文命名 API 的現實意義和可行途徑

Spring REST API 從實體到 DTO 的轉換

使用Protobuf增強您的REST API

為什麼graphql可以替代restful api？

人人都是 API 設計師

API 接口設計規範

Web API

ONE API (4)

ONE API (3)

實例說明在VBA中如何使用Windows API

前端性能監控之performance API

Elasticsearch6.0.0官方參考指南翻譯~Document APIs~Bulk API

如何設優秀的 API

設計更好的Web API

十分鐘學會Java8的lambda表達式和Stream API

Zabbix API——開啟運維監控自動化之路

乾貨： API 網關架構設計

什麼是RESTful API？面試問你了麼

API數據加密框架monkey-api-encrypt

介紹UCI機器學習數據庫的Python API

十分鐘學會Java8：lambda表達式和Stream API

為什麼阿里禁止工程師直接使用日誌系統Log4j、Logback中的 API

十分鐘學會Java8新特性：lambda表達式和Stream API

REST API 安全設計指南

Java API 接口開發規範詳解

RESTful API 最佳實踐

前後端程式設計師都要了解和使用REST API

servlet-api 的作用

RESTful API 設計最佳實踐

瀏覽器中的畫中畫（Picture-in-Picture）模式及其 API

設計一套良好 REST API

02.21 如何使用TensorFlow中的Dataset API

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"