互联网产品如何保障接口安全

或者另一种说法：如何识别非正常请求。

1. 前后端交互说明

两种类型：游客访问模式和注册用户模式。

• 游客访问流程：很简单，直接访问后端。
• 用户注册流程：用户注册，用户登录，登录后接口访问。

2. 游客直接访问

• 后端清晰的知道当前访问属于游客，可以明确控制游客权限，比如限制可访问资源的内容，数量和时间。

3. 用户注册

• 防止资源消耗：比如短信验证码消耗，方法有滑块验证。
• 防止薅羊毛：比如很多真实手机号注册进来，后续用这些用户想干啥干啥，可以通过ip进行检查。

4. 用户登录

• 防止撞库：比如暴力破解密码。方法有对接口进行频次监控和限制，如有ip流量异常就加滑块验证。

5. 登录后接口访问

假设我们使用了token验证用户登录身份。至此，接口安全漏洞开始多了起来。

• 登录用户本身是恶意用户，用户利用自己的登录token，进行的攻击。
• 登录用户是正常用户，但是网络被监听，用户的token被泄漏，请求被拦截。

5.1 一切犯罪都是有动机的，一般攻击有三种目的

下面从攻击动机维度拆解，并简单介绍每种的基础概念和基础防御。

5.1.1 竞争对手资源消耗型攻击

比如发现某个接口耗时比较长，竞争对手就使用工具大量请求这个弱点接口，对我们的服务器计算能力造成干扰。对接口耗时进行监控，对用户流量，对ip流量进行监控。

5.1.2 内容攫取型攻击

对产品里的有效内容进行恶意抓包。防护：对敏感数据进行脱敏，对指定用户控制有价值内容的获取数量和频次。

5.1.3 权益获取漏洞攻击

找到产品薅羊毛的机会，抓包后大肆请求接口获得利益。防护：产品层面对每个用户的最大获得利益进行限制，不允许利益交换或赠送，实时对发出去的权益总量进行监控。

5.2 上面介绍的防护，可以防护小规模的，非专业攻击 

高级攻击手段往往是多种方式并用，甚至是不可完全防护的，我们能做的是增加攻击的成本。

下面从攻击手段维度拆解分析。不包括sql注入攻击和XSS攻击。

5.2.1 伪造请求

抓到正常请求后，使用合法token，修改其他参数自动化发起请求。防护手段：对请求加签名验证。这里有个容易忽视的点，签名算法要加上path因素甚至method因素（而不只是参数）。

5.2.2 重放攻击

后端对每一次签名，只处理一次请求，业内有成熟的防重放攻击方案。

5.3 更高级的攻击

5.3.1 不断更换客户端ip发起攻击

公司内部可以组织安全小组，对IP或对用户的访问规律和行为轨迹进行建模，如果识别出某些ip或某些用户请求的特征不符合正常特征，就滑块验证处理。

还可以依靠阿里云等提供的dds攻击保护服务，让整个社会的正面力量去对付黑暗力量。

5.3.2 客户端反编译或者直接从js获得签名算法

签名算法包括算法和密钥，算法容易被窃取，密钥建议一人一密（用户登录后动态获取一个密钥，后续这个密钥不会再次放到请求里，这也能增加攻击成本，减少攻击范围）。