基于SpringBoot的WEB API项目的安全设计

SpringBoot的开箱即用功能，大大降低了上手一个WEB应用的门槛，友好的REST接口支持，在SpringCloud微服务体系中可编程性大大提高，本篇基于一个面向企业调用方用户的WEB API项目，基于SpringBoot来构建，简单看下接口的安全性模块设计。

主要借助于基于AOP技术来进行接口的安全防护，在SpringBoot下直接引入spring-boot-starter-aop即可使用。

1、在Pom中引入AOP配置

1. <dependency>  

2.     <groupId>org.springframework.boot</groupId>  

3.     <artifactId>spring-boot-starter-aop</artifactId>  

4. </dependency>

2、编写对应处理类即可，通过@Order(n)设置合法的校验顺序。如LogAspect

1. @Aspect

2. @Order(1)

3. @Component

4. public class LogAspect {

6.    private Logger logger=Logger.getLogger(LogAspect.class);

8.    @Pointcut("execution(public * com.wey.say.api.*.* (..))")

9.    public void apiLogAspect() {

11.    }

13.    @Before("apiLogAspect()")

14.    public void dobefore(JoinPoint joinPoint) {

15.        RequestAttributes ra = RequestContextHolder.getRequestAttributes();

16.        ServletRequestAttributes sra = (ServletRequestAttributes) ra;

17.        HttpServletRequest request = sra.getRequest();

18.        // 使用log4j的MDC及NDC特性，识别请求方的IP及调用资料，输出到日志中

19.        MDC.put("uri", request.getRequestURI());

20.        NDC.push(request.getRemoteAddr());

21.        // 记录下请求内容

22.        logger.info("HTTP_METHOD : " + request.getMethod());

23.        logger.info("CLASS_METHOD : " + joinPoint.getSignature().getDeclaringTypeName() + "."

24.                + joinPoint.getSignature().getName());

25.        logger.info("ARGS : " + Arrays.toString(joinPoint.getArgs()));

26.        NDC.pop();

27.        NDC.remove();

28.        MDC.get("uri");

29.        MDC.remove("uri");

30.    }

32.    @AfterReturning(returning = "ret", pointcut = "apiLogAspect()")

33.    public void doAfterReturning(Object ret) throws Throwable {

34.        // 处理完请求，返回内容

35.        logger.info("RESPONSE : " + ret);

36.    }

下面进入此系统关键的安全设计模块，由于是面向企业级接口调用用户，与面向大众的接口稍微有些不同，分为以下几个方面。

• 1、详细日志记录，凡请求过来均进行记录，便于后期识别非法请求的防范依据

参考上文中实现方式，可以再细化。进行日志的收集分析，后期分析接口的调用频率等进一步需求。

• 2、白名单限制，仅接受特定系统的请求响应，调用方的IP地址需要在本系统中报备，否则无法调用。

不采用黑名单机制，主要原因在于未知的IP量太大，只能采用允可的方式，成本最小，效果也最好。

• 3、调用法身份合法性验证，即便是白名单用户，也需要进行验证，确保用户真正合法。主要验证此请求是否确实来自于某一调用法，而非伪造的用户请求。

常见做法：为调用方设置一个唯一标识和一个密钥，接口到请求时校验这两者的合法性。

• 4、基于HmacSHA1算法进行请求参数完整性验证，主要用于检测传输过程中参数是否被篡改。

也可以采用的简单的MD5验签，效率更高。

• 5、防重放攻击，即可通过了前4个步骤，不排除利用合法请求，暴力调用的情况。在验证过程中增加时间戳项目，校验调用时间是否在允许范围内，比如1分钟之内。（案例：QQ第三方登陆在校验调用时间与服务时间时，时间差合理范围内，即便不一致，也可以使用）

CSRF的问题必须要重视，可以进行很强大的重放攻击。当然还有其它的如DOS攻击等。

• 6、流量控制。比较熟知的例子就是微信开放平台暴露的接口，DOC中明显指出某一接口一天内允许调用的次数，超过限制将无法响应。考虑到实际企业调用的情况，我们同样可以针对某一调用方某一请求进行限制

可借助Guava中对应RateLimiter模块功能，也可借助Redis高效响应机制自己设计，以调用方id+接口名称为KEY，设置接口调用上限即可，按天实时更新数据增量。

以上基本上可以算是个完整的安全防范过程，当然还是需要借助运维手段，在外层进行安全防范，比如WAF等，也可以在更高级处进行防范，比如网关接入层。

扩展阅读：

• 基于lua-nginx-module(openresty)的WEB应用防火墙

• MD4、MD5、SHA1、HMAC、HMAC_SHA1区别

• 对称加密算法与非对称加密算法的优缺点
  

• 如何从传统软件开发顺利过渡到互联网技术开发
  

• 学习新技术时你应当掌握的『最少必要知识』

• 他山之石，可以攻玉：从别人的项目中汲取经验
  

• 软技能：代码之外的生存指南

• 程序员，保护你的好奇心和求知欲

• 那些会阻碍程序员成长的细节[7]

• 做了七年软件开发后反而更迷茫

• 程序员，保护你的好奇心和求知欲

歪脖贰点零关注程序员个人成长