`

开放平台的安全性考量 (上)

阅读更多

 

来源:unclejoey.com    作者:Uncle Joey

前言

       开放平台概念由来已久。个人第一次接触开放平台开发是在2004年,使用当时如日中天的eBay API为eBay卖家开发管理工具。后来几年又陆续使用过国外的几家电子商务厂商、SNS社交类网站以及Google提供的开放API。近几年来,国内的 开放平台概念越来越热。主要集中在三类网站。一类是社交类。例如人人、开心和各个微博平台。主要是Facebook和Twitter在开放方面取得的巨大 成功让这些网站看到了一个可能的方向。另外一类是搜索引擎,主要是百度的框运算。第三类是电子商务,以淘宝的TOP(Taobao Open Platform)为代表。

        一家网站可能在一开始就有意识地走开放之路,希望构造一个宏大的生态圈,吸引到更多的第三方开发者和独立软件提供商到这个生态圈中发展,从而形成良 性循环。也有可能在一开始只是业务需要,要在组织机构以外做数据交换或者支持客户做二次开发。但是不管目的怎样,开放平台在系统结构上,有很多共同的地 方。稳定性、高可用性、性能等ility要素都是在开放平台架构设计时需要考虑的。但是作为面向组织外客户的API开放,安全性(security)却一 定是架构师在做Balance时首先和优先考虑的ility属性。

我所工作的网站Active.com主要服务于北美用户。从2009年开始,我们陆续开始了自己的开放之路。目前我们所做的工作还远远称不上“平 台”,但是也毕竟在开放这条路上迈出了第一步。作为开放平台的观察者、开发者和设计者,安全一直是我最感兴趣的部分。昨天从北京参加完淘宝2011开放年 发布会之后,我一直在想把自己对这一块的思考整理一下,算是对自己学习过程的一个总结回顾。

开放平台的系统角色

一个开放平台架构所针对的系统角色简单来讲有以下几类:

  1. 1. 网站 提供基础用户和服务的网站
  2. 2. 服务  网站内部的某个用于完成业务或者提供数据的服务接口。一般根据数据格式有SOAP, XML, JSON等。使用HTTP协议进行访问,因此都是无状态的(Stateless)。
  3. 3. 开放平台 内部服务通过接入开放平台,实现向外部用户提供服务。平台需要负责完成接收请求,身份校验,权限检查,流量控制,行为监控,服务转发,返回结果等一系列工 作,是整个开放平台架构的核心应用。某些“平台”功能相对简单,直接开发独立的专门针对外部用户的服务,这种实际上是把平台和单个服务在物理上合二为一。
  4. 4. 第三方应用 第三方应用系统通过平台入口,访问到内部服务,从而完成跨企业域的业务整合。比如开发者为新浪微博开发的应用,可以使用自己的域名,独立运行在第三方服务器上,但是依然可以通过远程API调用完成业务功能。
  5. 5. 用户 用户在此指网站用户,同时他们可能会使用第三方应用访问自己的数据,或者完成其网站业务。在电子商务系统中,用户还需要分为2类,A类用户为业务的提供 方,通常需要利用网站和第三方应用向其他用户提供业务;例如淘宝卖家。B类就是业务的接收方,利用网站和第三方应用接收A类用户提供的业务;例如淘宝买 家。

开放平台的身份认证体系 (Authentication of Open Platform)

 

身份认证(Authentication)是开放平台安全体系中的第一道关卡。作为独立的安全主体,开放平台对来自安全边界(Security Boundary)以外的每一次访问请求都需要做独立的身份认证,因为我们这里所谈的开放API都是通过无状态的HTTP协议进行的。

通常我们需要认证两类身份:一类身份是应用身份,一类是用户身份。

针对应用身份的认证 一般是通过一个应用票据(App Token or App Key)完成的。这个Token由平台颁发给对应的应用开发者,并由第三方应用进行保管。平台负责该票据的审核生成、发放与生命周期管理。在每次API请 求的时候,由第三方应用负责在该次请求中携带该票据,并由开放平台完成票据验证。这个机制中,需要开放平台生成的应用票据具备以下特性以确保安全:

  1. 1. 唯一标示。每个Token必须唯一标示一个指定的应用以防止身份冒用。
  2. 2. 不可猜测。这个Token的生成必须有随机因子,使得它不可被猜测。例如,使用开发者用户名和时间哈希生成的Token,就是一个不安全的Token.
  3. 3. 票据的有效性验证必须基于持久化比对,不能基于算法。尽管持久化票据并且读取比对存在一定的性能问题,但是这个可以依靠Cache予以解决。如果对票据不 做持久化,而仅仅依靠算法保证其有效性,那么算法的泄密(通过前员工,逆向工程,代码泄露等)必然导致整个系统再无任何安全性可言。
  4. 4. 如有可能,附加验证。很多时候对于应用的身份验证只是基于1个secret确实显得不太安全。因为这意味着一旦App Token泄露,应用身份就有可能被盗用。所以如有可能的情况下,开放平台应对App Token身份认真做附加验证,例如来源IP或者域名。针对来源域名做验证时,不要信任Http头中的Referrer,而应该去检查预设应用域名是否被 解析到来源IP地址。因为前者是可以被伪造的。针对分布式应用,考虑采用白名单和地址段的方式会有所帮助。
  5. *5. 时效性。尽管很多开放平台基于方便开发者的考虑,对App Token的时效性没有做过多要求,也就是说永久有效。但是从安全管理的角度,为Token设置一个有效期并且实施过期提醒策略,督促第三方开发者更新 App Token,是非常有必要的。过期时间不宜太短,一般12个月左右对大部分开发者来说是可以接受的。
  6. *6. 提供App Token暂时失效能力。供第三方开发者发现身份被盗用后迅速切断API盗用。这个能力作为开放平台的内部管理能力,供平台运维团队处理紧急情况使用。

针对用户身份的认证 目前也有很多解决方案。其中oAuth是目前被广泛采用的一个解决思路。基本思路就是由第三 方应用将用户重定向至平台的制定页面(在母网站域内),用户在登录后完成授权生成授权Token,然后由平台重定向用户至第三方应用并携带Access Token. 此后的第三方应用就可以凭借Access Token以用户身份访问开放API。oAuth有很多种实现,无论采取哪种方案,在实际实施中,需要注意的安全性问题有:

  1. 1. 注意oAuth 1.0是不安全的。其授权过程可被截断并予以伪造(俗称的session fixation攻击)。1.0 A修正了这个问题。当然如果有兴趣的话,可以看看最新的2.0规范。更新版的1.0a和2.0都已经成为RFC标准。实施时不一定严格遵守,但是了解其原 理和安全改进是必须的!
  2. 2. 注意授权页面的CSRF问题。这个问题很多平台都有过,严重程度不用多说。这也是为什么oAuth标准中一定有一个看似没有用处且影响性能的 Request Token。还是那句话,自己实现没有问题,也不一定需要一定严格遵守RFC,但是一定要明白为什么RFC这样设计。
  3. 3. 尽量使用Http Header而不是Query String传递参数。
  4. 4. 控制时效性。需要结合业务,对重要业务,尽可能地避免长效Token以保护用户。在很多情况下,牺牲用户体验是必须做出的艰难选择。看一看支持本地Cookie免登录的电子商务网站,在下单和支付时又需要再次登录,就能理解这一点了。

oAuth认证针对移动应用和桌面应用意义不是很大。尽管2.0规范中已经为此增加了几种新的Workflow,但是个人认为用户体验都很差。针对 这种需求,只能具体问题具体分析,一个建议是,不到万不得已,不要轻易开放支持Http Basic的API。有可能今天这个开发者是非常值得信赖的,但是口子一旦开放,就再也难以回头,只能越来越糟。解决这一问题的思路主要有:

  1. 1. PIN码验证。对桌面应用比较有效,参见新浪的实现方式。
  2. 2. 移动终端的验证中心应用。由用户在第三方应用上提出授权申请,再在官方应用(或者移动网站)的授权中心进行授权,开放平台在接到授权指令后通过后台推送 Access Token到第三方应用接口,完成授权。这种方式对移动终端较为方便。用户体验在可接受的范围之内。
  3. 3. 建议开发者不要再开发桌面应用。

 

开放平台的授权机制(Authorization of Open Platform)

 

相对于认证(Authentication)来说,授权(Authorization)是一个更为复杂的过程。各种应用之间的用户角色、用户组、权限交叉在一起,看上去很容易让人眼花缭乱迷失方向。作为开放平台的设计者和开发者,需要捋清头绪,分清楚主要矛盾和次要矛盾。

开放平台所需要解决的第一个授权问题,就是某应用究竟是否有权限访问某API。在平台上接入的API,应该根据企业的业务划分,应用的开发者等级, 以及实际业务需要,授权给尽可能小的应用群体。也就是所谓的最小化授权。这种授权可以由平台通过简单的对应完成。为了较少维护成本,也可以对应用和API 划分不同的安全等级,高等级的应用可以访问的API是低等级应用被授权API的超集。

在实际开发中,我们甚至考虑过由平台做Function粒度的授权控制。但是后来发现这样做成本太高,而且没有必要。让API开发者去做他们该做的 事情。平台所需要做的事情,不是提供一个万能的权限管理机制(相信我,这样会死人的,我试过),而是完成自己该做的事情,把正确的访问请求,访问者身份和 访问参数,转交给服务提供者。

分享到:
评论

相关推荐

    国内主流开放平台发展现状

    - **平台的公平性**:是否公平对待每一个开发者是重要考量因素之一。 - **推广方式**:有效的推广手段有助于提升应用的曝光率。 - **审核速度**:较快的审核速度可以帮助开发者更快地发布应用。 3. **主流开放...

    开放平台时代的登录系统设计

    在开放平台时代,登录系统设计变得尤为重要,它不仅关乎用户数据的安全性,还直接影响到用户体验、数据隐私保护以及跨平台的兼容性和互操作性。本文将深入探讨开放平台下的登录系统设计的关键要素,包括但不限于身份...

    行业分类-设备装置-基于开放平台的应用加载方法及装置.zip

    在开放平台上,加载方法可能需要考虑跨平台兼容性、安全性和性能优化。 3. **装置设计**:这里的“装置”可能是指具有特定功能的硬件设备,如物联网节点、工业控制器等,或者是软件上的实现,如应用程序加载模块。...

    云计算开放平台的知识产权问题研究.pdf

    例如,根据《腾讯开放平台开发者协议》(以下简称为《开放平台协议》),平台服务提供者需综合考虑国内外相关法律规定和司法实践,对自身法律地位以及可能涉及的知识产权问题进行探索性思考。 在分析平台服务提供者...

    平台打法千篇一律,长远的考量万里挑一.zip

    标题“平台打法千篇一律,长远的考量万里挑一”暗示了尽管许多平台可能在策略上相似,但真正能长久发展的关键在于独特的长远视角和深思熟虑的规划。这篇内容可能会深入探讨如何在众多平台中脱颖而出,以及如何通过...

    基于移动互联网科技论文共享平台数据的安全策略研究

    这包括但不限于在系统开发设计阶段就将数据安全性纳入考量,通过全面的安全策略和措施,构建一个既安全又稳定,能够满足用户需求的平台。 综上所述,本研究深入探讨了移动互联网科技论文共享平台面临的数据安全挑战...

    互联网商城开放平台需求文档.pdf

    - **Java语言**:Java是一种跨平台的面向对象编程语言,以其通用性、高效性、平台移植性和安全性著称,广泛应用于各种领域,包括Web开发。 - **Servlet技术**:Servlet是运行在服务器端的Java程序,用于扩展服务器...

    百度开放云vod 点播API实例

    然后,你需要使用这些密钥来签署你的请求,确保请求的安全性。 视频上传是VOD服务的核心功能之一。通过调用`UploadVideo` API,开发者可以将本地视频文件上传到百度云VOD系统,并获取到上传后的视频ID。这个ID是...

    阿波罗apollo安全报告

    由于内容片段中的文字重复性较高,具体的报告内容没有详细展开,我们无法得知报告详细的安全设计规范或者具体的安全案例分析,但可以推断报告包含对安全性的全面分析以及对阿波罗无人驾驶平台安全性各个方面的考量。...

    應用系統安全把關,從流程考量做起.pdf

    同时,使用开放源码审查工具、集中化的密钥管理、安全意识培训等措施,可以有效提高应用系统的安全性。 【挑战与应对策略】方面,开发团队往往缺乏足够的安全知识,而安全团队可能对开发过程不熟悉。为解决这一问题...

    智能手机操作系统的安全性研究——以-Google-Android-操作系统和iPhone-的IOS操作系统为例.ppt

    总的来说,Android和iOS在安全性上各有优劣,用户应根据自身需求和风险承受能力选择合适的操作系统,并采取有效的安全措施,以保护个人隐私和设备安全。未来,随着技术的发展,操作系统安全性将继续成为科技进步的...

    信息时代的档案管理及安全性考虑

    对于保障档案管理系统的安全性,本文提出几点建议:首先是建设高质量的档案管理平台,通过档案管理部门的官方网站提供开放的档案信息数据库和档案卷宗,建立专门的档案信息检索入口,以便于档案信息的查询和利用。...

    电力市场条件下电力系统安全性、经济性和公平性分析.pdf

    在电力市场条件下,电力系统的安全性、经济性和公平性成为关键的考量因素。 安全性和经济性的关系在电力市场中尤为突出。传统的电力系统通常采用N-1标准来确保静态安全,即当系统中任意一个发电机组或设备发生故障...

    第十四章金融对外开放与金融安全.pptx

    综上所述,金融对外开放与金融安全的平衡是各国金融政策制定的重要考量。既要把握开放的节奏,利用国际合作提升金融业竞争力,又要建立健全的风险防控机制,确保金融市场的稳定与健康发展。这需要政策制定者深入理解...

    科研和生产一线该如何选择云平台?要更多从数据维度思考

    数据量大小、安全性要求、处理和分析速度、系统集成兼容性等因素都是决策过程中的关键考量点。企业应以“多云”理念为指导,基于自身独特的业务和应用负载特性,灵活选择公有云、私有云或混合云的组合,从而构建最...

    汇聚数据价值:2021年中国物联网云平台发展研究报告.pdf

    此外,随着隐私保护和数据安全法规的完善,平台的安全性和合规性也将成为重要考量。 综上所述,中国物联网云平台行业正处于快速发展阶段,不仅在规模上不断扩大,而且在技术和服务上不断创新。随着数据价值的不断...

    行业分类-设备装置-一种基于桥梁养护的桁架式简易工作平台.zip

    6. **安全性考量**:强调工作平台的安全措施,包括防坠落装置、作业人员的防护装备、应急处理方案等。 7. **案例研究**:可能包含已实施的项目实例,展示平台在实际桥梁养护工作中的应用效果和反馈。 8. **经济...

Global site tag (gtag.js) - Google Analytics