本文介紹了一些關於Java API安全和效能方面的簡單易用的技巧,其中包括保證API Key安全和開發Web Service方面中在框架方面選擇的一些建議。
程式設計師都喜歡使用API!例如為app應用構建API或作為微服務架構體系的一部分。當然,使用API的前提是能讓你的工作變得更輕鬆。為了簡化開發和提高工作效率所作出的努力,有時也意味著需要尋找新的類庫或者過程(或者減少過程)。對於很多開發團隊來說,對於其APP和API進行管理認證和訪問控制要耗費很多的時間,因此我們需想分享一些技巧,它們能節約你的時間,減少程式碼編寫量,並能讓你的應用更加安全和易於維護。
先介紹下本文提及的背景知識:Okta是一個基於REST、JSON API構建的Java應用,使用Spring框架構建。我們公司的應用,是儲存使用者的身份憑證和其他公司的敏感資料,所以對我們來說,安全是最重要的。因此,我對這些技巧的第一個要求是,它們能幫助令到你的Java應用更安全。
這些建議應該是任何型別的Java應用都是通用的。它們會幫助你更快地編寫程式碼,但程式碼量更少了,同時又更安全:這真的是三贏的結果!
#1. 不要自己去實現安全框架
說真的,不要嘗試自己去實現安全方面的程式碼,這太難了。
幾乎每個人都知道避免去實現加密等演算法。同樣道理,你的應用的安全棧的其餘部分也是一樣,可能需要花費很大,得到的風險也很大。你很可能會犯一些錯誤。自1999年以來,已經有89373個CVE(公共漏洞和暴露)釋出了。而其中公開的大部分的發現者都是那些非常聰明的人。
你可能認為處理一個簡單的用例(例如驗證使用者的密碼)是很簡單的事情——你所做的一切只是比較一對字串。這樣想就錯了。你需要驗證密碼的雜湊值,稽核嘗試登入的次數,減少針對字典的攻擊,這只是冰山一角。你最好的選擇是使用現有的成熟的庫或框架,例如Apache的Shiro或者SpringSecurity,讓這些框架去處理各類複雜的安全問題。
#2. Use TLS, Always! 永遠使用TLS!
現在已經是2017年了,所有的網站都應該使用HTTPS了,甚至是公司的內網。Let’s encrypt讓HTTPS變得輕鬆和簡單,這意味著你能不再使用不安全的自籤金鑰了!你甚至可以在本地設定帶證照認證的Tomcat或者Nginx例項。
能讓你的應用需要TLS(HTTPS/SSL)只需要簡單的一行程式碼,所有人都應該這樣做!如果使用Apache Shiro框架,只需要設定屬性:
[urls]/** = ssl複製程式碼如果使用Spring Security,,只需要在設定HttpSecurity時,簡單呼叫一個方法即可。
http.requiresChannel()
.anyRequest().requiresSecure();複製程式碼在Spring Boot中,僅需設定一些屬性,如下:
server.port=8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=secret
server.ssl.key-password=another-secret複製程式碼#3. 使用Spring Boot建立Web Service
Spring Boot是Spring平臺的一個簡化,能讓編寫Spring應用變得很簡單,例如能用很少的程式碼,編寫《app應用中考慮的12個因素》一文中提到的觀點。如果你還在使用建War包的方式編碼,那麼Spring Boot值得你去學習。使用Spring Boot可以複雜的、不同型別的應用,例如可以使用簡單的註解(@EnableResourceServer)就搭建一個OAuth資源伺服器,或者通過簡單的屬性改變其埠:
server.port = 8090複製程式碼如果不喜歡使用SpringBoot,那麼可以使用Dropwizard去搭建JAX-RS技術棧。
#4. 監視應用和效能指標
如果無任何資料的情況下是很難發現程式的錯誤的。Spring Boot通過使用Actuator,能讓收集指標資料變得容易,只需要在應用中增加一個依賴,如下:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>`
Java學習交流QQ群:589809992 我們一起學Java!複製程式碼然後就可以通過瀏覽器中,在訪問應用地址後輸入/health 或者/metrics去檢查應用的健康情況或者指標。Dropwizard框架通過/healthcheck和/metrics實現同樣的功能。
下面是Spring Boot應用通過/metrics 輸出的結果:
{
"classes": 7704,
"classes.loaded": 7704,
"classes.unloaded": 0,
"counter.status.200.metrics": 1,
"gauge.response.metrics": 99.0,
"gc.ps_marksweep.count": 2,
"gc.ps_marksweep.time": 272,
"gc.ps_scavenge.count": 8,
"gc.ps_scavenge.time": 136,
"heap": 3728384,
"heap.committed": 470016,
"heap.init": 262144,
"heap.used": 207793,
"httpsessions.active": 0,
"httpsessions.max": -1,
"instance.uptime": 25020,
"mem": 529086,
"mem.free": 262222,
"nonheap": 0,
"nonheap.committed": 60608,
"nonheap.init": 2496,
"nonheap.used": 59067,
"processors": 8,
"systemload.average": 5.56103515625,
"threads": 24,
"threads.daemon": 22,
"threads.peak": 28,
"threads.totalStarted": 32,
"uptime": 37182}複製程式碼#5. 保護敏感資訊
人們都認為API金鑰是不安全的,這是事實。金鑰通過電子郵件傳送或原始碼管理系統控制。也許這是它們看起來比密碼更不安全的原因,但它們也一樣敏感。如果需要將API金鑰儲存在檔案中,請確保授予檔案有限的訪問許可權。例如,我們建議在私人目錄
中存放Okta的YAML檔案並且賦予檔案所有者只讀許可權。
$ chmod u=r,go-rwx ~/.okta/okta.yaml複製程式碼如果你正為使用你的APP的使用者建立API,記得提醒他們,如果無設定好許可權的話,.SSH的忽檔案是放在你的~/.ssh目錄下,如果無設定好許可權的話。GitHub 把它們放在“危險區域”,以提醒使用者,這是十分有用的。
