使用Java API的5個技巧

本文介紹了一些關於Java API安全和性能方面的簡單易用的技巧，其中包括保證API Key安全和開發Web Service方面中在框架方面選擇的一些建議。

程序員都喜歡使用API！例如爲app應用構建API或做爲微服務架構體系的一部分。固然，使用API的前提是能讓你的工做變得更輕鬆。爲了簡化開發和提升工做效率所做出的努力，有時也意味着須要尋找新的類庫或者過程（或者減小過程）。對於不少開發團隊來講，對於其APP和API進行管理認證和訪問控制要耗費不少的時間，所以咱們需想分享一些技巧，它們能節約你的時間，減小代碼編寫量，並能讓你的應用更加安全和易於維護。
　
先介紹下本文說起的背景知識：Okta是一個基於REST、JSON API構建的Java應用，使用Spring框架構建。咱們公司的應用，是保存用戶的身份憑證和其餘公司的敏感數據，因此對咱們來講，安全是最重要的。所以，我對這些技巧的第一個要求是，它們能幫助令到你的Java應用更安全。

這些建議應該是任何類型的Java應用都是通用的。它們會幫助你更快地編寫代碼，但代碼量更少了，同時又更安全：這真的是三贏的結果！　

#1. 不要本身去實現安全框架
說真的，不要嘗試本身去實現安全方面的代碼，這太難了。

幾乎每一個人都知道避免去實現加密等算法。一樣道理，你的應用的安全棧的其他部分也是同樣，可能須要花費很大，獲得的風險也很大。你極可能會犯一些錯誤。自1999年以來，已經有89373個CVE(公共漏洞和暴露)發佈了。而其中公開的大部分的發現者都是那些很是聰明的人。

你可能認爲處理一個簡單的用例（例如驗證用戶的密碼）是很簡單的事情——你所作的一切只是比較一對字符串。這樣想就錯了。你須要驗證密碼的哈希值，審覈嘗試登陸的次數，減小針對字典的攻擊，這只是冰山一角。你最好的選擇是使用現有的成熟的庫或框架，例如Apache的Shiro或者SpringSecurity,讓這些框架去處理各種複雜的安全問題。

#2. Use TLS, Always! 永遠使用TLS！
　
如今已是2017年了，全部的網站都應該使用HTTPS了，甚至是公司的內網。Let’s encrypt讓HTTPS變得輕鬆和簡單，這意味着你能再也不使用不安全的自籤密鑰了！你甚至能夠在本地設置帶證書認證的Tomcat或者Nginx實例。

能讓你的應用須要TLS(HTTPS/SSL)只須要簡單的一行代碼，全部人都應該這樣作！若是使用Apache Shiro框架，只須要設置屬性：

[urls]/** = ssl複製代碼

若是使用Spring Security,，只須要在設置HttpSecurity時，簡單調用一個方法便可。

http.requiresChannel()
.anyRequest().requiresSecure();複製代碼

在Spring Boot中，僅需設置一些屬性，以下：

server.port=8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=secret
server.ssl.key-password=another-secret複製代碼

#3. 使用Spring Boot建立Web Service

Spring Boot是Spring平臺的一個簡化，能讓編寫Spring應用變得很簡單，例如能用不多的代碼，編寫《app應用中考慮的12個因素》一文中提到的觀點。若是你還在使用建War包的方式編碼，那麼Spring Boot值得你去學習。使用Spring Boot能夠複雜的、不一樣類型的應用，例如可使用簡單的註解（@EnableResourceServer）就搭建一個OAuth資源服務器，或者經過簡單的屬性改變其端口：

server.port = 8090複製代碼

若是不喜歡使用SpringBoot,那麼可使用Dropwizard去搭建JAX-RS技術棧。

#4. 監視應用和性能指標

若是無任何數據的狀況下是很難發現程序的錯誤的。Spring Boot經過使用Actuator,能讓收集指標數據變得容易，只須要在應用中增長一個依賴，以下：

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>`
Java學習交流QQ羣：589809992 咱們一塊兒學Java！複製代碼

而後就能夠經過瀏覽器中，在訪問應用地址後輸入/health 或者/metrics去檢查應用的健康狀況或者指標。Dropwizard框架經過/healthcheck和/metrics實現一樣的功能。

下面是Spring Boot應用經過/metrics 輸出的結果：

{
    "classes": 7704,
    "classes.loaded": 7704,
    "classes.unloaded": 0,
    "counter.status.200.metrics": 1,
    "gauge.response.metrics": 99.0,
    "gc.ps_marksweep.count": 2,
    "gc.ps_marksweep.time": 272,
    "gc.ps_scavenge.count": 8,
    "gc.ps_scavenge.time": 136,
    "heap": 3728384,
    "heap.committed": 470016,
    "heap.init": 262144,
    "heap.used": 207793,
    "httpsessions.active": 0,
    "httpsessions.max": -1,
    "instance.uptime": 25020,
    "mem": 529086,
    "mem.free": 262222,
    "nonheap": 0,
    "nonheap.committed": 60608,
    "nonheap.init": 2496,
    "nonheap.used": 59067,
    "processors": 8,
    "systemload.average": 5.56103515625,
    "threads": 24,
    "threads.daemon": 22,
    "threads.peak": 28,
    "threads.totalStarted": 32,
    "uptime": 37182}複製代碼

#5. 保護敏感信息

人們都認爲API密鑰是不安全的，這是事實。密鑰經過電子郵件發送或源代碼管理系統控制。也許這是它們看起來比密碼更不安全的緣由，但它們也同樣敏感。若是須要將API密鑰存儲在文件中，請確保授予文件有限的訪問權限。例如，咱們建議在私人目錄

中存放Okta的YAML文件而且賦予文件全部者只讀權限。

$ chmod u=r,go-rwx ~/.okta/okta.yaml複製代碼

若是你正爲使用你的APP的用戶建立API，記得提醒他們，若是無設置好權限的話，.SSH的忽文件是放在你的~/.ssh目錄下，若是無設置好權限的話。GitHub 把它們放在「危險區域」，以提醒用戶，這是十分有用的。