4.請求安全-- 結合使用的安全優點總結

#結合使用的安全優點與總結# ##前言## 寫到這裏基本上筆者在請求中遇到的問題,以及運用到實踐中的解決方案,基本上分爲,請求惟一性,單設備登陸,單點登陸,MD5校驗 這幾種校驗的小技巧,在以前都對着幾種校驗方式進行也一些獨立的說明(尚未看過的能夠先去遊覽查閱一下,在請求安全模塊中) 在本章裏面會着重說明怎麼樣綜合使用,如何得到比較高的安全性,以及會簡單介紹一下方便使用的一種高級加密方法. ##1.回顧## ###1.1 單設備登陸.單點登陸###

每次調用登陸接口獲取的ID都是一個臨時ID.當下次登陸的時候從新生成在覆蓋,就能夠達到單設備登陸的
效果了,這個臨時ID對應着真正的用戶ID每次客戶端請求都是拿着臨時ID請求過來而後服務器作驗證,並且
這個臨時ID和真正ID是存儲在一個共享的區域,其餘的模塊都能獲取到這一項對應

###1.2 MD5校驗###

MD5在請求安全中關鍵用到的基本上就是對於請求參數進行校驗,對與服務器來言排除系統問題最大的問題
就是懼怕請求被攔截,攔截修改以後就有不少漏洞的可能性了, 爲了不被攔截,參數被修改這種文件的常
用方法就是對請求參數進行校驗,就算攔截了請求參數修改了只要模擬不出MD5加密出來的值,在服務器過濾
器直接就會進行攔截. 我這邊推薦的請求校驗方法在傳遞參數的時候帶上 MD5值 隨機數 時間戳 固然這幾
個都是由客戶端生成 MD5=MD5(隨機數+時間戳+MD5(KEY+公司名+項目名)) 固然這個規則也是能夠定製的
請求參數在服務器攔截器就用客戶端傳遞過來的 隨機數 時間戳 來作校驗若是不經過就不讓繼續訪問

###1.3 請求的惟一性###

若是別人不破解MD5直接解析Ddos攻擊固然要有個攔截機制,請求惟一性是對於一個用戶ID這個都是用戶的惟
一標示在這個簡單的解決方案中有兩個比較重要的東西,隨機數,時間戳,經過這兩個東西加上用戶惟一標示就
能實現一套簡單的請求惟一性驗證

##2. 密文加密-STD3Des##

STD3Des加密是一種高級可逆加密方法,他須要加解密雙方指定兩個東西一個是key,一個是vi(vi是偏移量)
密文加密意義在於別人捕獲請求不會看到傳遞參數的具體值

##3. 結合增長安全性##

1.由於有單設備登陸ID是動態的,因此吧ID做爲MD5的條件加密會更安全
2.MD5的隨機數和時間戳與惟一請求的使用的相同,應爲有MD5加密,因此模擬隨機數和時間戳須要先破解MD5校驗
3.密文加密能夠保證全部參數都是密文,進一步增長隨機數和時間戳被修改問題

##4. 性能##

不少人會在意接口加了這麼多東西性能會下降多少呢 ,我通過實踐下來其中性能消耗最大的是加解密,損耗在3%~8%
請求量越大損耗越大其餘加起來基本保持在1%左右,基本上也是能夠接受的,並且結合起來安全性仍是相對比較高的

##5.總結##

經過以上所述各項小技巧的組合確實能夠獲得不錯的安全性,基本上關於請求安全就告一段落了,筆者水平有限但願
你們多提意見,多交流!