• 非對稱加密：服務(wù)端會生成一對密鑰，私鑰存放在服務(wù)器端，公鑰可以發(fā)布給任何人使用；優(yōu)點就是比起對稱加密更加安全，但是加解密的速度比對稱加密慢太多了；廣泛使用的是RSA算法；

兩種方式各有優(yōu)缺點，而https的實現(xiàn)方式正好是結(jié)合了兩種加密方式，整合了雙方的優(yōu)點，在安全和性能方面都比較好；

對稱加密和非對稱加密代碼實現(xiàn)，jdk提供了相關(guān)的工具類可以直接使用，此處不過多介紹；

關(guān)于https如何配置使用相對來說復(fù)雜一些，可以參考本人的之前的文章HTTPS分析與實戰(zhàn)

2.數(shù)據(jù)加簽

數(shù)據(jù)加簽就是由發(fā)送者產(chǎn)生一段無法偽造的一段數(shù)字串，來保證數(shù)據(jù)在傳輸過程中不被篡改；你可能會問數(shù)據(jù)如果已經(jīng)通過https加密了，還有必要進行加強嗎？數(shù)據(jù)在傳輸過程中經(jīng)過加密，理論上就算被抓包，也無法對數(shù)據(jù)進行篡改；但是我們要知道加密的部分其實只是在外網(wǎng)，現(xiàn)在很多服務(wù)在內(nèi)網(wǎng)中都需要經(jīng)過很多服務(wù)跳轉(zhuǎn)，所以這里的加簽可以防止內(nèi)網(wǎng)中數(shù)據(jù)被篡改；

2.1 實現(xiàn)措施

數(shù)據(jù)簽名使用比較多的是md5算法，將需要提交的數(shù)據(jù)通過某種方式組合和一個字符串，然后通過md5生成一段加密字符串，這段加密字符串就是數(shù)據(jù)包的簽名，可以看一個簡單的例子：

str：參數(shù)1={參數(shù)1}&參數(shù)2={參數(shù)2}&……&參數(shù)n={參數(shù)n}$key={用戶密鑰};

MD5.encrypt(str);

注意最后的用戶密鑰，客戶端和服務(wù)端都有一份，這樣會更加安全；

3.時間戳機制

數(shù)據(jù)是很容易被抓包的，但是經(jīng)過如上的加密，加簽處理，就算拿到數(shù)據(jù)也不能看到真實的數(shù)據(jù)；但是有不法者不關(guān)心真實的數(shù)據(jù)，而是直接拿到抓取的數(shù)據(jù)包進行惡意請求；這時候可以使用時間戳機制，在每次請求中加入當前的時間，服務(wù)器端會拿到當前時間和消息中的時間相減，看看是否在一個固定的時間范圍內(nèi)比如5分鐘內(nèi)；這樣惡意請求的數(shù)據(jù)包是無法更改里面時間的，所以5分鐘后就視為非法請求了；

3.1 實現(xiàn)措施

解密后的數(shù)據(jù)，經(jīng)過簽名認證后，我們拿到數(shù)據(jù)包中的客戶端時間戳字段，然后用服務(wù)器當前時間去減客戶端時間，看結(jié)果是否在一個區(qū)間內(nèi)，偽代碼如下：

long?interval=5601000；//超時時間

long?clientTime=request.getparameter(“clientTime”);

long?serverTime=System.currentTimeMillis();

if(serverTime-clientTime>interval){

return?new?Response(“超過處理時長”)

}

4.AppId機制

大部分網(wǎng)站基本都需要用戶名和密碼才能登錄，并不是誰來能使用我的網(wǎng)站，這其實也是一種安全機制；對應(yīng)的對外提供的接口其實也需要這么一種機制，并不是誰都可以調(diào)用，需要使用接口的用戶需要在后臺開通appid，提供給用戶相關(guān)的密鑰；在調(diào)用的接口中需要提供appid+密鑰，服務(wù)器端會進行相關(guān)的驗證；

4.1 實現(xiàn)措施

生成一個唯一的AppId即可，密鑰使用字母、數(shù)字等特殊字符隨機生成即可；生成唯一AppId根據(jù)實際情況看是否需要全局唯一；但是不管是否全局唯一最好讓生成的Id有如下屬性：

• 趨勢遞增：這樣在保存數(shù)據(jù)庫的時候，使用索引性能更好；

• 信息安全：盡量不要連續(xù)的，容易發(fā)現(xiàn)規(guī)律；

關(guān)于全局唯一Id生成的方式常見的有類snowflake方式等；

5.限流機制

本來就是真實的用戶，并且開通了appid，但是出現(xiàn)頻繁調(diào)用接口的情況；這種情況需要給相關(guān)appid限流處理，常用的限流算法有令牌桶和漏桶算法；

5.1 實現(xiàn)措施

常用的限流算法包括：令牌桶限流，漏桶限流**，**計數(shù)器限流**

1.令牌桶限流

令牌桶算法的原理是系統(tǒng)以一定速率向桶中放入令牌，填滿了就丟棄令牌；請求來時會先從桶中取出令牌，如果能取到令牌，則可以繼續(xù)完成請求，否則等待或者拒絕服務(wù)；令牌桶允許一定程度突發(fā)流量，只要有令牌就可以處理，支持一次拿多個令牌；

2.漏桶限流

漏桶算法的原理是按照固定常量速率流出請求，流入請求速率任意，當請求數(shù)超過桶的容量時，新的請求等待或者拒絕服務(wù)；可以看出漏桶算法可以強制限制數(shù)據(jù)的傳輸速度；

3.計數(shù)器限流

計數(shù)器是一種比較簡單粗暴的算法，主要用來限制總并發(fā)數(shù)，比如數(shù)據(jù)庫連接池、線程池、秒殺的并發(fā)數(shù)；計數(shù)器限流只要一定時間內(nèi)的總請求數(shù)超過設(shè)定的閥值則進行限流；

具體基于以上算法如何實現(xiàn)，Guava提供了RateLimiter工具類基于基于令牌桶算法：

RateLimiter?rateLimiter?=?RateLimiter.create(5);

以上代碼表示一秒鐘只允許處理五個并發(fā)請求，以上方式只能用在單應(yīng)用的請求限流，不能進行全局限流；這個時候就需要分布式限流，可以基于redis+lua來實現(xiàn)；

6.黑名單機制

如果此appid進行過很多非法操作，或者說專門有一個中黑系統(tǒng)，經(jīng)過分析之后直接將此appid列入黑名單，所有請求直接返回錯誤碼；

6.1 實現(xiàn)措施

如何為什么中黑我們這邊不討論，我們可以給每個用戶設(shè)置一個狀態(tài)比如包括：初始化狀態(tài)，正常狀態(tài)，中黑狀態(tài)，關(guān)閉狀態(tài)等等；或者我們直接通過分布式配置中心，直接保存黑名單列表，每次檢查是否在列表中即可；

7.數(shù)據(jù)合法性校驗

這個可以說是每個系統(tǒng)都會有的處理機制，只有在數(shù)據(jù)是合法的情況下才會進行數(shù)據(jù)處理；每個系統(tǒng)都有自己的驗證規(guī)則，當然也可能有一些常規(guī)性的規(guī)則，比如身份證長度和組成，電話號碼長度和組成等等；

7.1 實現(xiàn)措施

數(shù)據(jù)合法性校驗

合法性校驗包括：常規(guī)性校驗以及業(yè)務(wù)校驗

• 常規(guī)性校驗：包括簽名校驗，必填校驗，長度校驗，類型校驗，格式校驗等；

• 業(yè)務(wù)校驗：根據(jù)實際業(yè)務(wù)而定，比如訂單金額不能小于0等；

8. 總結(jié)

本文大致列舉了幾種常見的安全措施機制包括：數(shù)據(jù)加密、數(shù)據(jù)加簽、時間戳機制、AppId機制、限流機制、黑名單機制以及數(shù)據(jù)合法性校驗；當然肯定有其他方式，歡迎補充。

自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進入阿里一直到現(xiàn)在。

深知大多數(shù)網(wǎng)絡(luò)安全工程師，想要提升技能，往往是自己摸索成長，但自己不成體系的自學效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

因此收集整理了一份《2024年網(wǎng)絡(luò)安全全套學習資料》，初衷也很簡單，就是希望能夠幫助到想自學提升又不知道該從何學起的朋友。

既有適合小白學習的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗的小伙伴深入學習提升的進階課程，基本涵蓋了95%以上網(wǎng)絡(luò)安全知識點，真正體系化！

由于文件比較大，這里只是將部分目錄大綱截圖出來，每個節(jié)點里面都包含大廠面經(jīng)、學習筆記、源碼講義、實戰(zhàn)項目、講解視頻，并且后續(xù)會持續(xù)更新

如果你覺得這些內(nèi)容對你有幫助，可以添加VX：vip204888 （備注網(wǎng)絡(luò)安全獲?。?/strong>