如何设计提高服务API的安全性（一）基础介绍

场景

      现今越来越多公司提供了Sass平台服务，大部分也直接提供API。如快递鸟、微信Api、云服务。如何保证这些服务的安全性是一门重要的课题。如快递跟踪、机票查询等很便捷地影响着我们d的生活，对这些技术开发人员有更高的技术要求。不仅体现在并发量这些基础性问题，更多的是安全性。

      例如在云时代，我们需要使用云服务，会提供相应服务的密钥AccessKeyId与AccessKeySecret。再如如果你经常与微信公众号打交道的话，公众号也会提供对应Appid与AppSecret。

      所以服务安全性越来越重要，本文也针对如何设计服务API的安全性做一些详细的探讨与设计。

 

需求

      现今我们对服务有此需求：公司/个人写了一个服务（支付服务、快递服务），需要把此服务面向公网，供所有人使用。使用我们的服务的厂商/个人，都需要注册我们的账号才能使用。

 

前提

      本文的探讨服务有几个前提：1）你的服务需要部署在公网。2）有安全性要求。3）使用HTTPS，使用HTTP根本无安全性可言。

      本文讨论的重要在于如何提供给第三方应用安全性地访问API，不在于用户。如果是用户可查看OAuth2.0、JWT、OIDC的相关流程。

 

打好基础

      在安全性，肯定离不开加密算法，下面来为大家打好算法基础。

在理解这些服务API之前，先要了解相关加解密算法的分类与优缺点。加密算法分为可逆与不可逆。可逆是对明文进行加密后，可以反向解密得到明文。不可逆是只能加密得到密文，不能解密。

      不可逆加密一般应用于数字签名验证、密码保护、文件完整性。可逆算法一般应用于TCP请求。

      不可逆算法有：MD5、SHA、HMAC。

      可逆算法：RSA、DSA、ECC等。

着重介绍不可逆算法

      不可逆算法有如下特点：

1. 压缩性：任意长度的明文数据，单向加密后长度都是固定的。

2. 抗修改性：修改明文，大部分情况下得到的结果都不一致。

3. 性能快：对明文数据进行单向解密处理速度快。

4. 抗碰撞性：很难找到不同的明文数据得出的加密结果一致。

MD5

      MD5是最常见的不可逆算法，也称单向算法。经常被用作密码保存、文件验证等。例如我们下载一个文件，一般都会验证MD5来保证文件完整性。

      MD5加密无需輸入密钥，直接使用明文即可加密。MD5根据不同的算法可输出固定长度为16位或者32位长度的字符串。

SHA

      SHA是安全散列算法，他包含五个算法：SHA-1、SHA-224、SHA-256、SHA-384、HA-512。这些算法根据安全性，越往后生成的hash长度越长。目前使用得最多得是SHA-1。

      它与MD5一样，无需密钥，直接使用明文即可加密。SHA比MD5安全，但相对性能慢一些。

HMAC

      HMAC是哈希消息认证码。

      HMAC是从加盐而来，所以它有密钥。HMAC是通过明文数据与密钥加密，这点与MD5与SHA不同。它多了个密钥，此密钥可用加盐处理。

 

服务API方式

1.OAuth2.0

      OAuth2.0是最常用的API服务访问方式。它有四种方式：授权码、隐藏式、密码式、凭证式。

      如果过程中有需要第三方网页登陆授权的应用，可使用授权码、隐藏式。因为他们包含了回调url的参数验证。如果是第三方应用，则可用凭证式。对于现今的需求，可使用凭证式，但凭证式可不那么安全。

      至于OAuth2.0的详细介绍，这里做详细说明，因为网上很多资料。此篇文章的重点不在此方式。

参考：http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

2. OpenID Connect

      也称为OICD，它是在OAuth2上构建了一个身份层，是一个基于OAuth2协议的身份认证标准协议。他是基于用户的，本文不详细介绍。不适用当前的场景。

参考：https://www.cnblogs.com/linianhui/p/openid-connect-core.html

3. JWT

      JWT有三部分组成，分别为Header、Payload、Signature。

      Header头部包含了加密算法内容。Payload负载包含了传输过程中用到的数据，是用base64生成。最后一部分Signature是签名，可使用HS256、RS256生成，用来防止token payload被篡改。

      在服务API中，目前流行JWT的方式。JWT已经固定了很多的token key，所以一般用于有web客户端的用户账密登陆过程。

4. API密钥

      这种方式我们讨论的重点。阿里云等各大云服务一般使用这种方式进行服务提供。

      先来看看阿里云的这种请求示例：

GET /?prefix=xz02tphky6fjfiuc&max-keys=1 HTTP/1.1

Date: Thu, 15 May 2014 11:18:32 GMT

Host: oss-cn-hangzhou.aliyuncs.com

Authorization: OSS nxj7dtwhcyl5hpvnhi:COS3OQkfQPnKmYZTEHYv2****

      可以看到，在请求Header消息头带上日期、密钥验证。下一篇文章，我们模仿这种来实现。我们首先一步步来讲解这种模式。

 

 

可以关注本人的公众号，多年经验的原创文章共享给大家。