如何设计一个安全的对外接口,总结了这几点,网络安全高级架构进阶之数据传输与序列化

public Response allExceptionHandler(HttpServletRequest request,

Exception exception) throws Exception

{

logger.error(“拦截到异常:”, exception);

Response response = new Response();

response.setData(null);

response.getResult().setResultCode(9999);

response.getResult().setResultMsg(“系统繁忙”);

return response;

}

}

6.拦截器链设置:合作方访问接口的时候,会根据你接口定义好的传参访问你的接口服务器,但是会存在接口参数类型错误或者格式不对,必传参数没传的问题,甚至一些恶意请求,都可以通过拦截器链进行前期拦截,避免造成接口服务的压力。

学习资料:Java进阶视频资源

还有很重要的一点,加签验签也可以在拦截器设置。继承WebMvcConfigurerAdapter实现springboot的拦截器链。实现HandlerInterceptor方法编写业务拦截器。

package com.caiex.vb.interceptor;

import javax.annotation.Resource;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

import org.springframework.stereotype.Component;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSON;

import com.caiex.redis.service.api.RedisApi;

import com.caiex.vb.model.Response;

import com.caiex.vb.utils.CaiexCheckUtils;

@Component

public class SignInterceptor extends BaseValidator implements
HandlerInterceptor{

private Logger logger = LogManager.getLogger(this.getClass());

@Resource

private RedisApi redisApi;

public void afterCompletion(HttpServletRequest arg0,

HttpServletResponse arg1, Object arg2, Exception arg3)

throws Exception {

// TODO Auto-generated method stub

}

public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,

Object arg2, ModelAndView arg3) throws Exception {

// TODO Auto-generated method stub

}

public boolean preHandle(HttpServletRequest arg0, HttpServletResponse arg1,

Object arg2) throws Exception {

if(isTestIpAddr(arg0)){

return true;

}

String securityKey = redisApi.hGet(“securityKey”,
arg0.getParameter(“agentid”));

if(StringUtils.isEmpty(securityKey)){

Response response = new Response();

response.setData(null);

response.getResult().setResultCode(8001);

response.getResult().setResultMsg(“缺少私钥, 渠道号:” +
arg0.getParameter(“agentid”));

logger.error(“缺少私钥, 渠道号:” + arg0.getParameter(“agentid”));

InterceptorResp.printJson(arg1, response);

return false;

}

if(StringUtils.isEmpty(arg0.getParameter(“sign”)) ||
!arg0.getParameter(“sign”).equals(CaiexCheckUtils.getSign(arg0.getParameterMap(),
securityKey))){

Response response = new Response();

response.setData(null);

response.getResult().setResultCode(3203);

response.getResult().setResultMsg(“参数签名认证失败”);

logger.error(“参数签名认证失败:” + JSON.toJSONString(arg0.getParameterMap()) + "
securityKey = " + securityKey);

InterceptorResp.printJson(arg1, response);

return false;

}else{

return true;

}

}

}

package com.caiex.oltp.config;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.ComponentScan;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.EnableWebMvc;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import
org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

import com.caiex.oltp.interceptor.APILimitRateValidator;

import com.caiex.oltp.interceptor.CommonValidator;

import com.caiex.oltp.interceptor.DDSAuthValidator;

import com.caiex.oltp.interceptor.QueryPriceParamsValidator;

import com.caiex.oltp.interceptor.TradeParamsValidator;

@EnableWebMvc

@Configuration

@ComponentScan

public class WebAppConfigurer extends WebMvcConfigurerAdapter {

@Bean

CommonValidator commonInterceptor() {

return new CommonValidator();

}

@Bean

DDSAuthValidator ddsAuthInterceptor() {

return new DDSAuthValidator();

}

@Bean

QueryPriceParamsValidator queryPriceParamsInterceptor() {

return new QueryPriceParamsValidator();

}

@Bean

TradeParamsValidator tradeParamsInterceptor() {

return new TradeParamsValidator();

}

@Bean

APILimitRateValidator aPILimitRateInterceptor() {

return new APILimitRateValidator();

}

@Override

public void addInterceptors(InterceptorRegistry registry) {

//访问速率限制

registry.addInterceptor(aPILimitRateInterceptor())

.addPathPatterns(“// ”);

//.addPathPatterns(“/price/getPriceParam”);

//参数签名认证

registry.addInterceptor(ddsAuthInterceptor())

.addPathPatterns(“/tradeState/*”)

.addPathPatterns(“/recycle/*”)

.addPathPatterns(“/matchInfo/*”)

.addPathPatterns(“/price/tradeTicketParam”);

//公共参数检查

registry.addInterceptor(commonInterceptor())

.addPathPatterns(“/price/tradeTicketParam”)

.addPathPatterns(“/tradeState/*”)

.addPathPatterns(“/recycle/*”);

//询价参数校验

registry.addInterceptor(queryPriceParamsInterceptor())

.addPathPatterns(“/price/getPriceParam”);

//交易参数检查

registry.addInterceptor(tradeParamsInterceptor())

.addPathPatterns(“/price/tradeTicketParam”);

super.addInterceptors(registry);

}

}

7.token令牌和sign数字签名实现数据保密性。

创建令牌(Token)

===========

为保证请求的合法性,我们提供第三方创建令牌接口,某些接口需要通过token验证消息的合法性,以免遭受非法攻击。

token过期时间目前暂时定为1天,由于考虑到合作方往往是分布式环境,多台机器都有可能申请token,为了降低合作方保证token一致性的难度,调用接口创建token成功以后一分钟以内,再次请求token返回的数据是一样的。

获取私钥

====

获取用于数字签名的私钥,第三方获取的私钥需妥善保存,并定期更新,私钥只参与数字签名,不作为参数传输。

数字签名方式:

参数签名;签名方式:所有值不为null的参数(不包括本参数)均参与数字签名,按照“参数名+参数值+私钥”的格式得到一个字符串,再将这个字符串MD5一次就是这个参数的值。(示例:h15adc39y9ba59abbe56e057e60f883g),所以需要先获取私钥。

验签方式:

将用户的所有非null参数放入定义好排序规则的TreeSet中进行排序,再用StringBuilder按照按照“参数名+参数值+私钥”的格式得到一个字符串(私钥从redis拿),再将这个字符串MD5一次就是这个参数的值。将这个值与用户传来的sign签名对比,相同则通过,否则不通过。

private String createToken(){

String utk = “Msk!D*”+System.currentTimeMillis()+“UBR&FLP”;

logger.info("create token — "+Md5Util.md5(utk));

return Md5Util.md5(utk);

}

8.接口限流

有时候服务器压力真的太大,以防交易接口被挤死,就可以对一些其他不影响主要业务功能并且计算量大的接口做限流处理。RateLimit–使用guava来做接口限流,当接口超过指定的流量时,就不处理该接口的请求。详细可看RateLimit。也可参考其他限流框架。

9.协议加密,http升级成https;

为什么要升级呢,为了保证数据的安全性。当使用https访问时,数据从客户端到服务断,服务端到客户端都加密,即使黑客抓包也看不到传输内容。当然还有其他好处,这里不多讲。但这也是开发接口项目需要注意的一个问题。

如何提高接口的高并发和高可用

==============

接口开发好了,接下来就讨论接口的可用性问题。首先我们要将高并发和高可用区分一下,毕竟高可用是在可用的情况,只是很慢或者效率不高。其实也可以归为一类问题,但是不重要啦,重要的是怎么提高你写的接口的访问速度和性能。

接口的高并发解决方案(其实没有唯一答案,业界针对不同业务也有很多不同的方法)

======================================

当访问一个接口获取数据时,发现返回很慢,或者总是超时,如果排除网络的原因,那就是接口服务器压力太大,处理不过来了。在世界杯期间,我们查看后台日志总是connection
by reset和borker pipe和一些超时问题。

这时候,你可能遇到了高并发和高可用问题。但是,不管遇到什么问题,都不能臆断和乱改,你得需要找到慢的原因,才能对症下药,乱改可能会导致其他问题的出现。首先,解决高并发问题的三个方向是负载均衡,缓存和集群。

学习资料:Java进阶视频资源

负载均衡

====

我们使用的是阿里云服务器的负载均衡,后台分布式服务管理,我们运维小哥哥搭建了一套k8s,可以自由在k8s上扩展服务节点,各个服务结点也能随内存的使用自动漂移,不用多说,k8s真的很厉害,感兴趣的同学可以详细去学。那么问题来了,阿里云的负载均衡怎么对应到k8s的负载均衡呢?

这个涉及到了k8s的service暴露的一些特点,简单说就是k8s把所有集群的服务都通过指定的内部负载均衡,在指定的服务器上暴露,然后我们又把这几个服务器接在阿里云负载均衡下,这个涉及的细节和配置很多。当然,除nginx外,还有其他负载均衡解决方案,软件硬件都有,硬件如f5等。

阿里云的nginx负载均衡,我们使用的是加权轮询策略,其实轮询是最低效的方式;

这就是最基本的负载均衡实例,但这不足以满足实际需求;目前Nginx服务器的upstream模块支持6种方式的分配:

负载均衡策略

轮询默认方式weight权重方式ip_hash依据ip分配方式least_conn最少连接方式fair(第三方)响应时间方式url_hash(第三方)依据URL分配方式

集群

==

首先,通过排查问题,发现是oltpapi接口服务处理请求很慢,大量请求过来,总是超时和中断连接,这时候,我们想着最简单的方法就是加机器,给oltp接口服务多加几台机器。

嗯,一切都很完美,如预期进行,但是加到一定数量,你发现,怎么不起效果,异步响应还是很慢,或者更直观的说,消息队列出现了严重的消息堆积。这时候,你发现出现了新的问题或者瓶颈,这个问题已经不是说加oltp服务器能解决了,那么,就需要去重新定位问题。发现是消息堆积,消息堆积就是生产者过快,导致消费者消费不过来,这时候,你就需要增加消费者的消费数量。给风控系统多加几台机器,让消费者和生产者达到一定平衡。

这里有个误区,你可能以为是rocketmq的broker数量过少,增加broker数量,其实当消费者和生产者保持一样的速度时,消息肯定不对堆积,按照原始的broker数量就足够。但是增加broker也会使得消息得到尽快的处理,提升一定效率。

缓存

==

当加机器不能解决问题时,或者说没那么多服务器可使用时,那么就要重代码层面解决高并发问题。Redis 是一个高性能的key-
value数据库,当获取数据从数据库拿很慢时,就可以存储到redis,从redis取值。

  • 用ConcurrentHashMap缓存对象,并设置过期时间

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/35db9dd85ead3c2446573a8c98cedd7b.png)
![img](https://img-
blog.csdnimg.cn/img_convert/4f207eb43786d1a5ffcfd366a4032037.png)
![img](https://img-
blog.csdnimg.cn/img_convert/3216cf50ac3c4fdd57c7b7c328bc7f72.png)
![img](https://img-
blog.csdnimg.cn/img_convert/03a1a68415b1f7d34bd68b6eac311cab.png)
![img](https://img-
blog.csdnimg.cn/img_convert/a59b8934c6eaeb79fd9f37891ab29b63.png)
![img](https://img-
blog.csdnimg.cn/img_convert/4337c4398b4a54742db3c8c3d72ffc43.png)

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
![img](https://img-
blog.csdnimg.cn/img_convert/94498f41532536259eb2f7b1953a0b2b.png)

如何自学黑客&网络安全
黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web
渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!

7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,
IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、
网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架
(可选);·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
![img](https://img-
blog.csdnimg.cn/img_convert/3fd39c2ba8ec22649979f245f4221608.webp?x-oss-
process=image/format,png)

网络安全工程师企业级学习路线

![img](https://img-
blog.csdnimg.cn/img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-
process=image/format,png)
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

![img](https://img-
blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-
process=image/format,png)
一些笔者自己买的、其他平台白嫖不到的视频教程。
![img](https://img-
blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-
process=image/format,png)

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
![img](https://img-
blog.csdnimg.cn/img_convert/86e7005bee5be720d31cf42344d90910.png)

img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-
process=image/format,png)
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

![img](https://img-
blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-
process=image/format,png)
一些笔者自己买的、其他平台白嫖不到的视频教程。
![img](https://img-
blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-
process=image/format,png)

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-EZgksfxe-1713059988472)]

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值