给应用提供 http api 服务的安全相关考虑

2016-02-03 15:17:43 +08:00
 clino
需求:
- 公网提供 http api 供 android 应用调用
- 目前看起来只有 api 没有 web 界面
- 估计并发量不会太高 因为大概只有 2% 的用户会执行相关的操作 而且是一次性的操作
- 对安全要求高

我对安全相关的考虑是除了 api 的实现本身要注意安全以外还可以:
- ssl 双向认证
- 对所有出错的 ip 用 iptables 封掉一段时间防止攻击
- 比如访问不提供服务的 url, 提供不应当错误的错数据之类的错误就都封掉一段时间,最好对于重复出错的 ip 封禁的时间能越来越长

问题:
- 还有没有什么其他的建议?
- 上面封 ip 的需求有现成的工具可以用吗? 感觉 fail2ban 就是搞这个的哈,不过上面重复出错的增加封禁时间的功能不知道有没有
2703 次点击
所在节点    信息安全
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255210

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX