接口安全问题,请教针对非常轻量的项目的安全方案。

335 天前
 godleon

环境

 springboot 2+
 mysql 5.7
 vue 3
  公网云

场景

 甲方要求在现在有项目内做一个数据统计图的功能;
 目前合作是他们提供前端源码,我们在里面开发前端页面;
 我们自己单独搭建一个后端来提供数据统计图功能的支撑,现在使用单机 springboot ,项目内主要是针对数据统计图出接口,api 接口 /3 个,socket 接口 /2 个;

问题

 现在甲方要求提供针对数据统计图的接口安全方案;
 1.不能牵涉到甲方自己后台的逻辑,像 shiro,security 需要在登录时触发,这个还需要他们配合 不到万不得已不考虑;
 2.能否在我们自己的客户端和服务端内完成;
 3.尽量不集成过多的依赖,能使用 Java 原生解决优先;
1613 次点击
所在节点    程序员
11 条回复
xuanbg
335 天前
你可以拿我的网关改造一下。在我的 github 里面,自取不谢。
imnpc
335 天前
你们自己的前端后端 API 接口可以直接限制指定 IP socket 的只能数据加密解密了吧
godleon
335 天前
@imnpc 给他们提限制 IP ,是不是不太友好 #555
aapeli
335 天前
买 waf 云厂商的 waf ,自建 waf
sky857412
335 天前
感觉他的意思就是返回数据加密吧,然后接口需要鉴权之类的吧
ThreeK
335 天前
最简单粗暴的就的就是约定密钥,俩边对数据进行加解密
wangxiaoaer
335 天前
最简答的办法你的接口不要直接暴露给客户端,一律通过对方后台进行代理,你这边的后台只向原后台服务器 IP 开放。

对方后台需要微调。
cyningxu
335 天前
“能否在我们自己的客户端和服务端内完成” 是不是直接双端加密通信就行了?
8355
335 天前
最轻量级就是 https 加验签
数据包整体加解密
再加一层就是内网
再加就是 ip 白名单

上面提到的 waf 就是公网方案, 只不过误报非常多, 需要你加很多规则.并且需要大量测试
lihang1329
335 天前
md5 (私钥+时间戳)
Sanko
335 天前
aksk

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX