接口安全问题,请教针对非常轻量的项目的安全方案。

2023-05-29 16:29:11 +08:00
 godleon

环境

 springboot 2+
 mysql 5.7
 vue 3
  公网云

场景

 甲方要求在现在有项目内做一个数据统计图的功能;
 目前合作是他们提供前端源码,我们在里面开发前端页面;
 我们自己单独搭建一个后端来提供数据统计图功能的支撑,现在使用单机 springboot ,项目内主要是针对数据统计图出接口,api 接口 /3 个,socket 接口 /2 个;

问题

 现在甲方要求提供针对数据统计图的接口安全方案;
 1.不能牵涉到甲方自己后台的逻辑,像 shiro,security 需要在登录时触发,这个还需要他们配合 不到万不得已不考虑;
 2.能否在我们自己的客户端和服务端内完成;
 3.尽量不集成过多的依赖,能使用 Java 原生解决优先;
1832 次点击
所在节点    程序员
11 条回复
xuanbg
2023-05-29 16:35:25 +08:00
你可以拿我的网关改造一下。在我的 github 里面,自取不谢。
imnpc
2023-05-29 16:37:39 +08:00
你们自己的前端后端 API 接口可以直接限制指定 IP socket 的只能数据加密解密了吧
godleon
2023-05-29 16:41:46 +08:00
@imnpc 给他们提限制 IP ,是不是不太友好 #555
aapeli
2023-05-29 16:54:44 +08:00
买 waf 云厂商的 waf ,自建 waf
sky857412
2023-05-29 17:17:11 +08:00
感觉他的意思就是返回数据加密吧,然后接口需要鉴权之类的吧
ThreeK
2023-05-29 17:36:17 +08:00
最简单粗暴的就的就是约定密钥,俩边对数据进行加解密
wangxiaoaer
2023-05-29 17:40:46 +08:00
最简答的办法你的接口不要直接暴露给客户端,一律通过对方后台进行代理,你这边的后台只向原后台服务器 IP 开放。

对方后台需要微调。
cyningxu
2023-05-29 17:45:26 +08:00
“能否在我们自己的客户端和服务端内完成” 是不是直接双端加密通信就行了?
8355
2023-05-29 18:10:43 +08:00
最轻量级就是 https 加验签
数据包整体加解密
再加一层就是内网
再加就是 ip 白名单

上面提到的 waf 就是公网方案, 只不过误报非常多, 需要你加很多规则.并且需要大量测试
lihang1329
2023-05-29 18:20:48 +08:00
md5 (私钥+时间戳)
Sanko
2023-05-29 23:39:42 +08:00
aksk

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX