面试题:如何保证HTTP接口的安全性
- 首先应该考虑使用https协议,因为http协议是不安全的,一般来说购买服务器的时候厂商都会送免费的https 的ssl证书,只需要在nginx配置就可以了。
- 接口应该开启加密,分为对称加密和非对称加密
- 对称加密:客户端和服务端使用同一个秘钥
- 非对称加密:
- 数据验签,避免黑客通过抓包的形式改我们用户的提交的请求参数内容,可以对接口参数进行验证签名,验签的时候再次加密比较,看服务端与客户端,是否一致,如果不一致,认为被篡改。
- 接口可以做一些黑名单和白名单,如果某个ip有问题,频繁的请求,可以将它拉入黑名单
- 可以给接口做一些限流,避免被攻击
- 在生产环境尽量不要暴露我们真实ip,如果黑客知道真实ip,可以通过ddos攻击,如果不想被知道真实ip,可以买一些高防服务器,只有高防服务器才知道真实的ip
- 代码可以防御我们的xss和sql注入
- 还可以考虑在参数进行dto与do转换
