`

开放平台的安全性考量 (上)

阅读更多

 

来源:unclejoey.com    作者:Uncle Joey

前言

       开放平台概念由来已久。个人第一次接触开放平台开发是在2004年,使用当时如日中天的eBay API为eBay卖家开发管理工具。后来几年又陆续使用过国外的几家电子商务厂商、SNS社交类网站以及Google提供的开放API。近几年来,国内的 开放平台概念越来越热。主要集中在三类网站。一类是社交类。例如人人、开心和各个微博平台。主要是Facebook和Twitter在开放方面取得的巨大 成功让这些网站看到了一个可能的方向。另外一类是搜索引擎,主要是百度的框运算。第三类是电子商务,以淘宝的TOP(Taobao Open Platform)为代表。

        一家网站可能在一开始就有意识地走开放之路,希望构造一个宏大的生态圈,吸引到更多的第三方开发者和独立软件提供商到这个生态圈中发展,从而形成良 性循环。也有可能在一开始只是业务需要,要在组织机构以外做数据交换或者支持客户做二次开发。但是不管目的怎样,开放平台在系统结构上,有很多共同的地 方。稳定性、高可用性、性能等ility要素都是在开放平台架构设计时需要考虑的。但是作为面向组织外客户的API开放,安全性(security)却一 定是架构师在做Balance时首先和优先考虑的ility属性。

我所工作的网站Active.com主要服务于北美用户。从2009年开始,我们陆续开始了自己的开放之路。目前我们所做的工作还远远称不上“平 台”,但是也毕竟在开放这条路上迈出了第一步。作为开放平台的观察者、开发者和设计者,安全一直是我最感兴趣的部分。昨天从北京参加完淘宝2011开放年 发布会之后,我一直在想把自己对这一块的思考整理一下,算是对自己学习过程的一个总结回顾。

开放平台的系统角色

一个开放平台架构所针对的系统角色简单来讲有以下几类:

  1. 1. 网站 提供基础用户和服务的网站
  2. 2. 服务  网站内部的某个用于完成业务或者提供数据的服务接口。一般根据数据格式有SOAP, XML, JSON等。使用HTTP协议进行访问,因此都是无状态的(Stateless)。
  3. 3. 开放平台 内部服务通过接入开放平台,实现向外部用户提供服务。平台需要负责完成接收请求,身份校验,权限检查,流量控制,行为监控,服务转发,返回结果等一系列工 作,是整个开放平台架构的核心应用。某些“平台”功能相对简单,直接开发独立的专门针对外部用户的服务,这种实际上是把平台和单个服务在物理上合二为一。
  4. 4. 第三方应用 第三方应用系统通过平台入口,访问到内部服务,从而完成跨企业域的业务整合。比如开发者为新浪微博开发的应用,可以使用自己的域名,独立运行在第三方服务器上,但是依然可以通过远程API调用完成业务功能。
  5. 5. 用户 用户在此指网站用户,同时他们可能会使用第三方应用访问自己的数据,或者完成其网站业务。在电子商务系统中,用户还需要分为2类,A类用户为业务的提供 方,通常需要利用网站和第三方应用向其他用户提供业务;例如淘宝卖家。B类就是业务的接收方,利用网站和第三方应用接收A类用户提供的业务;例如淘宝买 家。

开放平台的身份认证体系 (Authentication of Open Platform)

 

身份认证(Authentication)是开放平台安全体系中的第一道关卡。作为独立的安全主体,开放平台对来自安全边界(Security Boundary)以外的每一次访问请求都需要做独立的身份认证,因为我们这里所谈的开放API都是通过无状态的HTTP协议进行的。

通常我们需要认证两类身份:一类身份是应用身份,一类是用户身份。

针对应用身份的认证 一般是通过一个应用票据(App Token or App Key)完成的。这个Token由平台颁发给对应的应用开发者,并由第三方应用进行保管。平台负责该票据的审核生成、发放与生命周期管理。在每次API请 求的时候,由第三方应用负责在该次请求中携带该票据,并由开放平台完成票据验证。这个机制中,需要开放平台生成的应用票据具备以下特性以确保安全:

  1. 1. 唯一标示。每个Token必须唯一标示一个指定的应用以防止身份冒用。
  2. 2. 不可猜测。这个Token的生成必须有随机因子,使得它不可被猜测。例如,使用开发者用户名和时间哈希生成的Token,就是一个不安全的Token.
  3. 3. 票据的有效性验证必须基于持久化比对,不能基于算法。尽管持久化票据并且读取比对存在一定的性能问题,但是这个可以依靠Cache予以解决。如果对票据不 做持久化,而仅仅依靠算法保证其有效性,那么算法的泄密(通过前员工,逆向工程,代码泄露等)必然导致整个系统再无任何安全性可言。
  4. 4. 如有可能,附加验证。很多时候对于应用的身份验证只是基于1个secret确实显得不太安全。因为这意味着一旦App Token泄露,应用身份就有可能被盗用。所以如有可能的情况下,开放平台应对App Token身份认真做附加验证,例如来源IP或者域名。针对来源域名做验证时,不要信任Http头中的Referrer,而应该去检查预设应用域名是否被 解析到来源IP地址。因为前者是可以被伪造的。针对分布式应用,考虑采用白名单和地址段的方式会有所帮助。
  5. *5. 时效性。尽管很多开放平台基于方便开发者的考虑,对App Token的时效性没有做过多要求,也就是说永久有效。但是从安全管理的角度,为Token设置一个有效期并且实施过期提醒策略,督促第三方开发者更新 App Token,是非常有必要的。过期时间不宜太短,一般12个月左右对大部分开发者来说是可以接受的。
  6. *6. 提供App Token暂时失效能力。供第三方开发者发现身份被盗用后迅速切断API盗用。这个能力作为开放平台的内部管理能力,供平台运维团队处理紧急情况使用。

针对用户身份的认证 目前也有很多解决方案。其中oAuth是目前被广泛采用的一个解决思路。基本思路就是由第三 方应用将用户重定向至平台的制定页面(在母网站域内),用户在登录后完成授权生成授权Token,然后由平台重定向用户至第三方应用并携带Access Token. 此后的第三方应用就可以凭借Access Token以用户身份访问开放API。oAuth有很多种实现,无论采取哪种方案,在实际实施中,需要注意的安全性问题有:

  1. 1. 注意oAuth 1.0是不安全的。其授权过程可被截断并予以伪造(俗称的session fixation攻击)。1.0 A修正了这个问题。当然如果有兴趣的话,可以看看最新的2.0规范。更新版的1.0a和2.0都已经成为RFC标准。实施时不一定严格遵守,但是了解其原 理和安全改进是必须的!
  2. 2. 注意授权页面的CSRF问题。这个问题很多平台都有过,严重程度不用多说。这也是为什么oAuth标准中一定有一个看似没有用处且影响性能的 Request Token。还是那句话,自己实现没有问题,也不一定需要一定严格遵守RFC,但是一定要明白为什么RFC这样设计。
  3. 3. 尽量使用Http Header而不是Query String传递参数。
  4. 4. 控制时效性。需要结合业务,对重要业务,尽可能地避免长效Token以保护用户。在很多情况下,牺牲用户体验是必须做出的艰难选择。看一看支持本地Cookie免登录的电子商务网站,在下单和支付时又需要再次登录,就能理解这一点了。

oAuth认证针对移动应用和桌面应用意义不是很大。尽管2.0规范中已经为此增加了几种新的Workflow,但是个人认为用户体验都很差。针对 这种需求,只能具体问题具体分析,一个建议是,不到万不得已,不要轻易开放支持Http Basic的API。有可能今天这个开发者是非常值得信赖的,但是口子一旦开放,就再也难以回头,只能越来越糟。解决这一问题的思路主要有:

  1. 1. PIN码验证。对桌面应用比较有效,参见新浪的实现方式。
  2. 2. 移动终端的验证中心应用。由用户在第三方应用上提出授权申请,再在官方应用(或者移动网站)的授权中心进行授权,开放平台在接到授权指令后通过后台推送 Access Token到第三方应用接口,完成授权。这种方式对移动终端较为方便。用户体验在可接受的范围之内。
  3. 3. 建议开发者不要再开发桌面应用。

 

开放平台的授权机制(Authorization of Open Platform)

 

相对于认证(Authentication)来说,授权(Authorization)是一个更为复杂的过程。各种应用之间的用户角色、用户组、权限交叉在一起,看上去很容易让人眼花缭乱迷失方向。作为开放平台的设计者和开发者,需要捋清头绪,分清楚主要矛盾和次要矛盾。

开放平台所需要解决的第一个授权问题,就是某应用究竟是否有权限访问某API。在平台上接入的API,应该根据企业的业务划分,应用的开发者等级, 以及实际业务需要,授权给尽可能小的应用群体。也就是所谓的最小化授权。这种授权可以由平台通过简单的对应完成。为了较少维护成本,也可以对应用和API 划分不同的安全等级,高等级的应用可以访问的API是低等级应用被授权API的超集。

在实际开发中,我们甚至考虑过由平台做Function粒度的授权控制。但是后来发现这样做成本太高,而且没有必要。让API开发者去做他们该做的 事情。平台所需要做的事情,不是提供一个万能的权限管理机制(相信我,这样会死人的,我试过),而是完成自己该做的事情,把正确的访问请求,访问者身份和 访问参数,转交给服务提供者。

分享到:
评论

相关推荐

    java毕设项目之ssm基于SSM的高校共享单车管理系统的设计与实现+vue(完整前后端+说明文档+mysql+lw).zip

    项目包含完整前后端源码和数据库文件 环境说明: 开发语言:Java 框架:ssm,mybatis JDK版本:JDK1.8 数据库:mysql 5.7 数据库工具:Navicat11 开发软件:eclipse/idea Maven包:Maven3.3 服务器:tomcat7

    YOLO算法-贴纸检测数据集-212张图像带标签-部分覆盖-未涵盖-完全覆盖.zip

    YOLO系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,包含数据集配置文件data.yaml,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中,文件名末尾是部分类别名称; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值; 【注】可以下拉页面,在资源详情处查看标签具体内容;

    zigbee CC2530无线自组网协议栈系统代码实现协调器按键控制终端LED灯和继电器动作.zip

    1、嵌入式物联网单片机项目开发例程,简单、方便、好用,节省开发时间。 2、代码使用IAR软件开发,当前在CC2530上运行,如果是其他型号芯片,请自行移植。 3、软件下载时,请注意接上硬件,并确认烧录器连接正常。 4、有偿指导v:wulianjishu666; 5、如果接入其他传感器,请查看账号发布的其他资料。 6、单片机与模块的接线,在代码当中均有定义,请自行对照。 7、若硬件有差异,请根据自身情况调整代码,程序仅供参考学习。 8、代码有注释说明,请耐心阅读。 9、例程具有一定专业性,非专业人士请谨慎操作。

    手语图像分类数据集【已标注,约2,500张数据】

    手语图像分类数据集【已标注,约2,500张数据】 分类个数【36】:0、1、a、b等【具体查看json文件】 划分了训练集、测试集。存放各自的同一类数据图片。如果想可视化数据集,可以运行资源中的show脚本。 CNN分类网络改进:https://blog.csdn.net/qq_44886601/category_12858320.html 【更多图像分类、图像分割(医学)、目标检测(yolo)的项目以及相应网络的改进,可以参考本人主页:https://blog.csdn.net/qq_44886601/category_12803200.html】

    CNCAP 2024打分表

    CNCAP 2024打分表

    基于小程序的智慧校园管理系统源代码(java+小程序+mysql+LW).zip

    系统可以提供信息显示和相应服务,其管理智慧校园管理系统信息,查看智慧校园管理系统信息,管理智慧校园管理系统。 项目包含完整前后端源码和数据库文件 环境说明: 开发语言:Java JDK版本:JDK1.8 数据库:mysql 5.7 数据库工具:Navicat11 开发软件:eclipse/idea Maven包:Maven3.3 部署容器:tomcat7 小程序开发工具:hbuildx/微信开发者工具

    【图像去噪】基于matlab PolSAR GWLS滤波器图像去噪【含Matlab源码 9937期】.zip

    Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作

    影音互动科普网站-JAVA-基于SpringBoot的哈利波特书影音互动科普网站设计与实现(毕业论文)

    影音互动科普网站功能描述 影音互动科普网站旨在通过多媒体形式(视频、音频、互动内容等)传播科学知识,提高公众的科学素养。该网站结合娱乐与教育,提供易于理解的科普内容,吸引不同年龄层次的用户参与和学习。以下是该网站的主要功能描述: 1. 用户注册与登录 用户注册:用户可以通过电子邮箱、手机号或社交账号(如微信、微博等)注册,提供基本信息并设置密码。 用户登录:支持通过注册的账号登录,保障个人信息的安全性,并提供自动登录功能。 2. 科普视频与音频库 视频内容:网站提供各类科普视频,包括短视频、纪录片、讲座、实验演示等,覆盖物理、化学、生物、地理、天文等多个领域。 音频内容:提供科普音频节目,如科普广播、播客、专题讲座等,便于用户在日常生活中进行学习。 视频分类:按科目、难度、年龄层、时长等维度对视频和音频进行分类,帮助用户更精准地找到感兴趣的内容。 字幕与多语言支持:提供字幕、翻译和多语种版本,帮助不同语言的用户学习。 3. 互动问答与讨论区 专家问答:用户可以向科普专家提问,专家提供详尽的解答,解决用户的科学疑惑。 社区讨论:用户可以在视频下方或专题页面中发表评论、提问或与其他用户

    倪海厦讲义及笔记,易学数据测算

    倪海厦讲义及笔记,易学数据测算

    【组合数学答案】组合数学-苏大李凡长版-课后习题答案

    内容概要:本文档是《组合数学答案-网络流传版.pdf》的内容,主要包含了排列组合的基础知识以及一些经典的组合数学题目。这些题目涵盖了从排列数计算、二项式定理的应用到容斥原理的实际应用等方面。通过对这些题目的解析,帮助读者加深对组合数学概念和技巧的理解。 适用人群:适合初学者和有一定基础的学习者。 使用场景及目标:可以在学习组合数学课程时作为练习题参考,也可以在复习考试或准备竞赛时使用,目的是提高解决组合数学问题的能力。 其他说明:文档中的题目覆盖了组合数学的基本知识点,适合逐步深入学习。每个题目都有详细的解答步骤,有助于读者掌握解题思路和方法。

    管理系统开发指南:功能要求、技术栈及安全控制

    内容概要:本文是一篇完整的管理系统开发指南,详细介绍了功能要求、技术栈选择、数据库设计、用户界面搭建以及安全控制等方面的内容。功能要求包括用户管理、权限控制、数据管理、系统日志、通知与消息、统计分析和扩展模块。使用的技术栈涵盖了后端(Java、Python、C#等)和前端(React、Vue.js、Angular等)技术,以及数据库设计和安全控制措施。 适合人群:具备一定开发经验的软件工程师和技术管理人员。 使用场景及目标:适用于企业级管理系统开发项目,旨在构建一个高效、安全且易于扩展的系统。开发者可以参考本文档进行系统的设计和实现,确保系统满足业务需求。 其他说明:本文档提供了详细的步骤和最佳实践,帮助开发者更好地理解和应用管理系统开发的各种技术。通过结合实际案例和实践经验,本文档能够为开发者提供有价值的指导。

    听器听力损伤程度分级表.docx

    听器听力损伤程度分级表.docx

    MATLAB代码:基于条件风险价值的合作型Stackerlberg博弈微网动态定价与优化调度 关键词:微网优化调度 条件风险价值 合作博弈 纳什谈判 参考文档:A cooperative Stack

    MATLAB代码:基于条件风险价值的合作型Stackerlberg博弈微网动态定价与优化调度 关键词:微网优化调度 条件风险价值 合作博弈 纳什谈判 参考文档:《A cooperative Stackelberg game based energy management considering price discrimination and risk assessment》完美复现 仿真平台:MATLAB yalmip+cplex+mosek 主要内容:代码主要做的是一个基于合作型Stackerlberg博弈的考虑差别定价和风险管理的微网动态定价与调度策略,提出了一个双层能源管理框架,实现多个微网间的P2P能源交易,上层为零商的动态定价模型,目标是社会福利最大化;下层是多个产消者的合作博弈模型,优化各产消者的能量管理策略。 同时,采用纳什谈判法对多个产消者的合作剩余进行公平分配,还考虑了运行风险,采用条件风险价值(CVaR)随机规划方法来描述零商的预期损失。 求解方面,双层模型被基于KKT条件转为单层模型,模型可以高效求解。 这段代码是一个基于合作型Stackelberg博弈的微网

    YOLO算法-监控数据集-873张图像带标签-警方-警车-救护车-消防车-跌倒的人-消防员.zip

    YOLO系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,包含数据集配置文件data.yaml,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中,文件名末尾是部分类别名称; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值; 【注】可以下拉页面,在资源详情处查看标签具体内容;

    (175526236)【动漫网页设计】源码免费分享,让你的网站更有趣!

    20块钱买的【动漫网页设计】源码,免费分享出来啦,如果要积分那是系统自动涨的啦。 内容概要:本资源是一份动漫网页设计的源码,价格仅为20元,作者将其免费分享给大家。该源码包含了动漫元素的设计,包括背景、图标、按钮等,同时也提供了一些常见的网页布局和交互效果。通过该资源,可以学习到动漫网页设计的基本原理和技巧。 适用人群:本资源适用于对动漫网页设计感兴趣的人群,包括网页设计师、UI设计师、前端开发工程师等。同时,对于想要学习动漫网页设计的初学者也非常适用。 使用场景及目标:该资源可以用于学习和实践动漫网页设计的技巧和原理。通过学习该源码,可以了解到动漫网页设计的基本要素和设计思路,同时也可以借鉴其中的设计元素和交互效果,应用到自己的网页设计中。 其他说明:本资源是作者自己设计的,经过了多次修改和优化,具有一定的参考价值。同时,作者也将其价格设置的非常低,希望更多的人可以学习到动漫网页设计的技巧和方法。如果您对该资源有任何疑问或建议,欢迎在评论区留言,作者会尽快回复。。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。

    C++程序设计-参考答案

    自考 本科 C++程序设计-课本 参考答案

    每周质量安全排查报告.docx

    每周质量安全排查报告.docx

    YOLO算法-杂草检测项目数据集-3970张图像带标签-杂草.zip

    YOLO算法-杂草检测项目数据集-3970张图像带标签-杂草.zip

    内存搜索工具(易).rar

    内存搜索工具(易).rar

    2024 AGM Meritech Market Section (External).pdf

    AI大模型研究相关报告

Global site tag (gtag.js) - Google Analytics