前后端分离之后,如何保护你的API

最新推荐文章于 2022-03-30 17:49:54 发布
最新推荐文章于 2022-03-30 17:49:54 发布
阅读量377 收藏 1
点赞数

(点击上方的蓝色文字,可快速关注我们)

前后端分离之后

前后端分离之后,在部署上通过一个反向代理就可以实现动静态分离,跨域问题的解决等。但是一旦引入鉴权,则又会产生新的问题。通常来说,鉴权是对于后台API/API背后的资源的保护,即 未经授权的用户不能访问受保护资源 。

要实现这个功能有很多种方式,在应用程序之外设置完善的安全拦截器是最常见的方式。不过有点不够优雅的是,一些不太纯粹的、非功能性的代码和业务代码混在同一个代码库中。

另一方面,各个业务系统都可能需要某种机制的鉴权,所以很多企业都会搭建SSO机制,即 Single Sign-On 。这样可以避免人们在多个系统创建不同账号,设置不同密码,不同的超时时间等等。如果SSO系统已经先于系统存在了很久,那么新开发的系统完全不需要自己再配置一套用户管理机制了(一般SSO只会完成 鉴权 中 鉴别 的部分, 授权 还是需要各个业务系统自行处理)。

本文中,我们使用基础设施(反向代理)的一些配置,来完成 保护未授权资源 的目的。在这个例子中,我们假设系统由这样几个服务器组成:

系统组成

这个实例中,我们的系统分为三部分

  1. kanban.com:8000 (业务系统前端)

  2. api.kanban.com:9000 (业务系统后端API)

  3. sso.kanban.com:8100 (单点登录系统,登陆界面)

前端包含了HTML/JS/CSS等资源,是一个纯静态资源,所以本地磁盘即可。后端API则是一组需要被保护的API(比如查询工资详情,查询工作经历等)。最后,单点登录系统是一个简单的表单,用户填入用户名和密码后,如果登录成功,单点登录会将用户重定向到登录前的位置。

我们举一个具体场景的例子:

  1. 未登录用户访问 http://kanba.com:8000/index.html

  2. 系统会重定向用户到 http://sso.kanban.com:8100/sso?return=http://kanba.com:8000/index.html

  3. 用户看到登录页面,输入用户名、密码登录

  4. 用户被重定向回 http://kanba.com:8000/index.html

  5. 此外, index.htm l页面上的 app.js 对 api.kanban.com:9000 的访问也得到了授权

环境设置

简单起见,可以通过修改/etc/hosts文件来设置服务器环境:

 
 
 
 
 
nginx及auth_request
 
 
反向代理nginx有一个auth_request的模块。在一个虚拟host中,每个请求会先发往一个内部 location,这个内部的 location 可以指向一个可以做鉴权的Endpoint。如果这个请求得到的结果是200,那么nginx会返回用户本来请求的内容,如果返回401,则将用户重定向到一个预定义的地址:
 
 
 
 
 
 
 
比如上面这个例子中, auth_request 的URL为 /api/auth ,它是一个内部的location,外部无法访问。在这个 locaiton 中,请求会被转发到 http://api.kanban.com:9000 ,根据nginx的正则语法,请求将会被转发到 http://api.kanban.com:9000/api/auth (我们随后可以看到这个Endpoint的定义)。
 
 
我们设置了请求的原始头信息,并禁用了request_body,如果cookie中包含了 w3=(\w+) 字样,则将这个w3的值抽取出来,并赋值给一个 X-KANBAN-TOKEN 的HTTP头。
 
 
权限Endpoint
 
 
对应的 /api/auth 的定义如下:
 
 
 
 
 
 
 
如果HTTP头上有 X-KANBAN-TOKEN 且值不为空,则返回200,否则返回401。
 
 
当这个请求得到401之后,用户被重定向到 http://sso.kanban.com:8100/sso
 
 
 
 
 
 
 
SSO组件(简化版)
 
 
这里用 sinatra 定义了一个简单的SSO服务器(去除了实际的校验部分)
 
 
 
 
 
 
 
/sso 对应的Login Form是:
 
 
 
 
 
 
 
当用户提交表单之后,我们只是简单的设置了 cookie ,并重定向用户到跳转前的URL。
 
 
前端页面
 
 
这个应用的前端应用非常简单,我们只需要将这些静态文件放到 /usr/local/var/www/kanban 目录下:
 
 
 
 
 
 
 
其中 index.html 中引用的 app.js 会请求一个受保护的资源:
 
 
 
 
 
 
 
从下图中的网络请求可以看到重定向的流程:
 
 
0?wx_fmt=png
 
 
总结
 
 
本文我们通过配置反向代理,将多个Endpoint组织起来。这个过程可以在应用程序中通过代码实现,也可以在基础设施中通过配置实现,通常来讲,如果可以通过配置来实现的,就尽量将其与负责业务逻辑的代码隔离出来。这样可以保证各个组件的独立性,也可以使得优化和定位问题更加容易。
 
 
 
 
欢迎关注“互联网架构师”,我们分享最有价值的互联网技术干货文章,助力您成为有思想的全栈架构师,只聊架构,不聊其他!打造最有价值的架构师圈子和社区。
 
 
长按下方的二维码可以快速关注我们
 
 

 
 
640?wx_fmt=jpeg
 
 
如想加群讨论学习,请点击右下角的“加群学习”菜单入群
 


                

        

        

    

  


    

      

        

            

              
                
                  互联网架构
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
RESTful APIRESTful API的身份验证与权限控制

				
			

			

				

					weixin_52553215的博客
				

				

					11-10
					
					324
					
				

			

		

		

			
				
RESTful API是一种常用的互联网应用程序接口设计风格。在实际开发中,为了保护API的安全性,我们通常需要对用户进行身份验证。RESTful 服务客户端必须向服务器证明其身份才能确立信任。RESTful Web 服务必须首先对请求进行身份验证,然后才能发送响应。

			
		

	



                

              
                



	

		

			

				
					
前后端分离,如何防止接口被其他人调用或恶意重发

				
			

			

				

					weixin_30673715的博客
				

				

					10-29
					
					1131
					
				

			

		

		

			
				
前后端分离,如何防止接口被其他人调用或恶意重发?
首先,http协议的无状态特性决定了是无法彻底避免第三方调用你的后台服务。我们可以通过crsf、接口调用频率、用户行为分析(来源等)等各个方面来增加第三方调用的难度,也可以通过添加一个中间层比如node.js来实现;1. 非法访问通常使用认证来解决,方法很多session,token,oauth第三方框架等等。
(1)常规的方法:用户登陆后生成...

			
		

	



                


  
              

                


	

		

			

				
					
通过SpringBoot拦截器和JWT验证实现接口保护

				
			

			

				

					Beyonderwei的博客
				

				

					08-15
					
					4027
					
				

			

		

		

			
				
通过SpringBoot拦截器和JWT验证实现接口保护一、使用场景二、拦截器三、JWT令牌认证四、JWT工具类五、颁发令牌六、请求拦截
一、使用场景
    单体应用的登录验证与接口保护:有我们并不想希望我们的所有接口都是完全开放的,比如用户登陆后获取个人信息等接口,因此需要对用户进行验证,而验证过程需要在访问接口之前进行,因此可通过拦截器来方便的实现。(更复杂的认证授权可使用Shiro或SpringSecurity)
二、拦截器
    拦截器会在访问接口之前对请求进行拦截,因此可以在拦截器中对接口请求

			
		

	





	

		

			

				
					
前后端API交互如何保证数据安全性?

				
			

			

				

					weixin_34009794的博客
				

				

					06-04
					
					7238
					
				

			

		

		

			
				
前言
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。
网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。
数据的安全性非常重要,特别是用户相关的...

			
		

	



		

			
		



	

		

			

				
					
解决django前后端分离csrf验证的问题

				
			

			

				

					09-19
				

			

		

		

			
				
前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...

			
		

	





	

		

			

				
					
springbootspringsecurity前后端分离(一个小demo)

				
			

			

				

					08-21
				

			

		

		

			
				
前后端分离的架构中,Spring Security通常用于后端,对API接口进行保护。  在这个小demo中,前端和后端之间的交互可能通过RESTful API完成。前端可能发送请求到后端,请求中包含用户信息或者操作指令。后端会通过...

			
		

	





	

		

			

				
					
前后端分离的注册登录模板

				
			

			

				

					06-01
				

			

		

		

			
				
【标题】:“前后端分离的注册登录模板”指的是在Web应用开发中,将前端界面与后端业务逻辑分离开来,实现各自独立开发和维护的一种架构模式。这种模式下,前端负责用户交互和界面展示,而后端则专注于数据处理和...

			
		

	





	

		

			

				
					
java + vue 的前后端分离的考试系统.zip

				
			

			

				

					11-16
				

			

		

		

			
				
总的来说,“java + vue 的前后端分离的考试系统.zip”包含了一个完整的Web应用程序,结合了Java的强后端能力和Vue.js的出色用户体验,通过RESTful API实现通信。这个项目对于学习者来说是一个很好的实践案例,涵盖...

			
		

	





	

		

			

				
					
基于vue前后端分离手机销售商城系统

					
最新发布

				
			

			

				

					11-07
				

			

		

		

			
				
【Vue.js 前后端分离手机销售商城系统详解】  Vue.js 是一款轻量级的前端JavaScript框架,因其易学易用、性能高效、组件化开发等特性,在现代Web开发中备受青睐。在这个基于Vue.js的前后端分离手机销售商城系统中,...

			
		

	





	

		

			

				
					
前后端分离 , 如何保证接口安全性 ?

				
			

			

				

					沈光阳的博客
				

				

					01-23
					
					1万+
					
				

			

		

		

			
				
1. 完整的代码
前端vue代码
后端java代码
2. Api有哪些安全问题?http接口—前后端分离mvvm

3. Token授权机制
用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。

4. 间戳超机制
间戳,是客户端调用接口对应的当前间戳,间戳用于防止DoS攻击。当黑客劫持了请求的url去DoS攻击,每次调用接口接口都会判

			
		

	





	

		

			

				
					
前后端分离架构中的接口安全(上篇)

				
			

			

				

					李熠专用博客_白帽子一枚,人称低危终结者
				

				

					06-10
					
					3万+
					
				

			

		

		

			
				
互联网发展至今,已由传统的前后端统一架构演变为如今的前后端分离架构,最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成,前后端十分耦合,也不利于扩展。现在的前端分支很多,如:Web前端、Android端、IOS端,甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面,所有前端即可通用。 
前后端的传输通过HTTP进行传输,也带来了一些安全问题,如果抓包、模拟请求、洪水攻击、参数劫...

			
		

	





	

		

			

				
					
后端接口API的安全性考虑

				
			

			

				

					阿伟的博客
				

				

					03-30
					
					2499
					
				

			

		

		

			
				
后端接口API的安全性考虑,如何设计安全的API接口。

			
		

	





	

		

			

				
					
接口如何防刷

				
			

			

				

					weixin_43964148的博客
				

				

					03-22
					
					3540
					
				

			

		

		

			
				
为什么会有人要刷接口?1、牟利黄牛在 12306 网上抢票再倒卖。2、恶意攻击竞争对手如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。3、压测用 apache ben...

			
		

	





	

		

			

				
					
前后端分离 单点登录SSO 纯前端实现单点登录SSO

					
热门推荐

				
			

			

				

					小楼一夜听春雨
				

				

					02-10
					
					6万+
					
				

			

		

		

			
				
以前涉及到单点登录,都是用CAS解决的,不过体验不是很好,但是也确确实实实现了单点登录,利用了session会话。后来我到了公司的架构部,部门决定重新定位前端技术路线,我大胆地采用了前后端分离的方式,让前端工程化,这样遇到单点登录就涉及到一个问题,前端已经不存在session会话了,于是我就采用cookie,将登录信息存储进cookie,这有人就会问,cookie是不是不安全,在我看来sessi

			
		

	





	

		

			

				
					
前后端不分离项目

				
			

			

				

					tianhuiman的博客
				

				

					06-14
					
					1万+
					
				

			

		

		

			
				
后端操作数据渲染网页
express  是nodejs核心框架。
express的功能介绍?
。express_generator自动构建开发工具
。express有一个本地端口localhost:3000静态网页
。联合前端网页的源代码,通过ejs模块可以实现前后端联合项目
。ejs可以识别HTML标签,还能解析js,运行在express上。
express的主要功能?
可以创建web服务器(l...

			
		

	





	

		

			

				
					
接口安全保护策略

				
			

			

				

					米洛尔的博客
				

				

					11-09
					
					3700
					
				

			

		

		

			
				
服务端对外开放API接口,尤其对移动应用开放接口的候,更需要关注接口安全性的问题,要确保应用APP与API之间的安全通信,防止数据被恶意篡改等攻击。
对于移动应用来说,服务端开放的接口极有可能一些别有用心挖出了,其实很难避免接口暴露到公网去,所以服务端在接口设计层面就必须加以考虑。下面就简单列举几种措施来对付接口安全问题。
Token机制
开放接口最基本需要考虑到接口不应该被别人随意访问,而我...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值