一、身份鉴定。这个可以使用Oauth2.0规范,或者带有不对称密钥加密的token,选择JWT等形式,配合身份鉴定系统来保证。
二、内容防篡改。可以使用数字签名算法来进行哈希校验,强制HTTPS通信。最新的系统可以考虑http/2。
三、 DDoS 攻击。通过设置防火墙, 控制API调用频. 率,例如协议的rate- -limit 等设置来进行沟通和控制。
四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手,主流框架都有基本的防注入设计。
五、同源策略。通过正确的配置CORS来防止异常调用,但是只对浏览器有效。对于移动端可以通过分发证书或者token来验证有效的调用来源,加签名验证
六、中间人攻击。这个貌似没有想到太好的办法,只能在调用端提示用户处于不安全网络,有攻击风险而自行规避。
1,网关限流,大量恶意攻击应该屏蔽进入服务器之前
2,c端设置token过期时间
3,增加吞吐量
来源:oschina
链接:https://my.oschina.net/u/4390260/blog/4817265