前后端交互如何保證安全性?
2021-02-19 分類: 網站建設
前言
前后端交互如何保證安全性?
前后端交互如何保證安全性?
web與后端,andorid與后端,ios與后端,像這種類型的交互其實就屬于典型的前端與后端進行交互。在與B端用戶進行交互的過程中,我們通常忽略了其安全性(甚至從未考慮安全性)。比如,請求和響應數據的明文傳輸,對接口并沒有做嚴格的身份校驗。如果我們還是按照這種思路去做C端用戶的交互,那么等待著必將是血淋淋的教訓。接下來,我帶領大家如何在與C端用戶安全的進行交互。
保證安全性的幾種方式
前后端安全性的交互,大致可以分成如下幾類:
1、通信請求使用https
2、對請求參數進行簽名,防止數據被踹改
3、對請求參數以及響應進行加密解密處理
4、APP中使用ssl pinning防止抓包操作
使用https
谷歌 Chrome 在18年七月份已經將所有的 HTTP 網站標記為“不安全”。并且已經有越來越多的第三方服務開始推薦甚至是強制要求使用 HTTPS 連接方式,比如現在用得特別多的微信登錄、微信支付、短信驗證碼、地圖 API 等等,又比如蘋果公司 2016 年在 WWDC 上宣稱,公司希望官方應用商店中的所有 iOS App 都使用安全的 HTTPS 鏈接與服務器進行通信。
那為什么越來越多的 HTTP 都在逐漸 HTTPS 化?HTTP 協議(超文本傳輸協議)是客戶端瀏覽器或其他程序與 Web 服務器之間的應用層通信協議;HTTPS 協議可以理解為 HTTP+ssl/TLS, 即 HTTP 下加入 ssl 層,HTTPS 的安全基礎是 ssl,因此加密的詳細內容就需要 ssl,用于安全的 HTTP 數據傳輸,http與https的區別如下圖所示:
前后端交互如何保證安全性?
不使用ssl/TLS的HTTP通信,就是不加密的通信。所有信息明文傳播,帶來了三大風險。
ssl/TLS協議是為了解決這三大風險而設計的,希望達到:
因此強烈建議,為了你的系統安全性,趕快切到https中去吧。
對請求進行簽名
我們先來看一個例子,假設用戶在下完單之后,可以更改訂單的狀態,用戶對后端發起請求 /user?orderId=123, 假設后端剛好也沒有對這筆訂單的身份進行驗證,那么后果就是,我們根據orderId, 將這筆訂單的狀態進行了修改:
前后端交互如何保證安全性?
前后端交互如何保證安全性?
如果這時候,嘗試著將請求中的orderId 換成另外一個orderId, 也會同樣對這筆訂單做了修改,從安全角度來說這是我們不希望看到的,當然我們也可以加一下身份校驗,判斷該筆訂單是否屬于當前的用戶;除此之外,我們還應該對請求參數做一次簽名處理。
加簽和驗簽就是在請求發送方將請求參數通過加密算法生成一個sign值,放到請求參數里;請求接收方收到請求后,使用同樣的方式對請求參數也進行加密得到一個sign值,只要兩個sign值相同,就說明參數沒有被篡改。
簽名參數sign生成的方法
舉例
現在假設需要傳輸的數據:/guest/rechargeNotify?p2=v2&p1=v1&method=cancel&p3=&pn=vn(實際情況最好是通過post方式發送)
驗簽過程
其實就是將請求url按照上述的規則進行同樣的操作,計算得到參數的簽名值,然后和參數中傳遞的sign值進行對比,如果一致則校驗通過,否則校驗不通過。
對請求和響應進行加解密
可能有人會問,都使用了https了,為什么還要對請求和響應再做一次加解密,因為有些第三方抓包工具,例如Charles 通過某些手段是可以抓取https的明文的,因此對一些敏感數據,我們需要進行加密處理,常見的加解密方式有AES 對成加密方式和RSA非對成方式,至于如何運用,可以參考https的原理,有點復雜,不過可以簡單分成如下幾步:
前后端交互如何保證安全性?
前后端交互如何保證安全性?
1.服務器端有一個密鑰對,即公鑰和私鑰,是用來進行非對稱加密使用的,服務器端保存著私鑰,不能將其泄露,公鑰可以發送給任何人。
2.服務器將自己的公鑰發送給客戶端。
3.客戶端收到服務器端的公鑰之后,會對公鑰進行檢查,驗證其合法性,如果發現發現公鑰有問題,那么HTTPS傳輸就無法繼續。嚴格的說,這里應該是驗證服務器發送的數字證書的合法性,關于客戶端如何驗證數字證書的合法性,下文會進行說明。如果公鑰合格,那么客戶端會生成一個隨機值,這個隨機值就是用于進行對稱加密的密鑰,我們將該密鑰稱之為client key,即客戶端密鑰,這樣在概念上和服務器端的密鑰容易進行區分。然后用服務器的公鑰對客戶端密鑰進行非對稱加密,這樣客戶端密鑰就變成密文了,至此,HTTPS中的第一次HTTP請求結束。
4.客戶端會發起HTTPS中的第二個HTTP請求,將加密之后的客戶端密鑰發送給服務器。
5.服務器接收到客戶端發來的密文之后,會用自己的私鑰對其進行非對稱解密,解密之后的明文就是客戶端密鑰,然后用客戶端密鑰對數據進行對稱加密,這樣數據就變成了密文。
6.然后服務器將加密后的密文發送給客戶端。
7.客戶端收到服務器發送來的密文,用客戶端密鑰對其進行對稱解密,得到服務器發送的數據。
總結
前后端的交互如果做到以上使用https,對請求加解密以及對請求參數進行驗簽,基本上能解決大部分問題,但除此之外我們還應該做到對每個接口進行身份校驗,確保該接口只能由特定的用戶訪問,或者該筆數據只能由特定的用戶去進行修改。
新聞名稱:前后端交互如何保證安全性?
當前URL:http://newbst.com/news41/101841.html
成都網站建設公司_創新互聯,為您提供企業網站制作、Google、做網站、移動網站建設、云服務器、用戶體驗
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 為什么電商必須做小程序? 2021-02-19
- 網站優化第一步:確保網站的穩定性 2021-02-19
- 小程序,輕社交,微電商 2021-02-19
- 新手開微店,你需要了解這些 2021-02-19
- 算力即權力,大數據中心將迎來爆炸式增長 2021-02-19
- 當電商的風頭被新零售蓋過,社交電商有了新轉機 2021-02-19
- 互聯網+電商企業市場營銷模式的創新 2021-02-19
- 每個程序員都應該要讀的5本書,越早讀越受益 2021-02-19
- 響應式網頁設計中的量身定制和網頁模板 2021-02-19
- 如何巧用內鏈優化你的外貿網站? 2021-02-19
- 5個域名告訴你,域名之于企業到底有多大影響力 2021-02-19
- 簡單制作屬于自己的導航網頁 2021-02-19
- Linux:SSH免密碼登錄原理及實戰 2021-02-19
- 沒有營銷預算的企業怎么玩互聯網? 2021-02-19
- 棄Windows轉Linux,韓國政府能成么? 2021-02-19
- 未來5年哪幾個專業前途一片光明? 2021-02-19
- 看!北京理工大學域名安全機器人來啦! 2021-02-19
- 跨境電商新趨勢 2021-02-19
- 建網站一般需要多少錢 如何讓網站帶來效益 2021-02-19