12.7.1. 接口安全问题
来源IP控制,即黑白名单,获取IP地址需要考虑X Forward for
IP计数器,单位时间内IP访问次数达到阀值,就提示稍后连接
用户名密码认证
动态验证码
证书加密
md5/sha1 数字摘要 校验
SSL / TSL 证书加密
12.7.2. 访问接口协议
机遇http的实现方式有下面几种。 http协议传统post/get 方式 soap 简单对象访问协议 xmlrpc 机遇xml的协议 json 近年来兴起的一种数据序列化传输方法 http无状态协议,不能保证连接100%有效性。http方式受限制与浏览器,对于并发控制,超时时间,通信数据长度都有严格的限制。 例如:一般浏览器运行超时时间都是30秒或60秒,当你通过http方式访问接口时,你的程序因运行超过30秒被浏览器强行中断;另外当你提交的数据超过浏览器限制长度时也会返回错误。 结局上述问题方法是将借口独立出一台服务器,单独设置超时时间等配制 http 方式有诸多缺陷,当仍被广泛使用,他的特点是容易开发,开发人员不需要额外学习,如post/get方式 http 方式的优势是它可以携带Cookie/Session TCP/UDP Socket 方式 TCP 这是唯能保证不间断时时传输手段,开发难度很高,目前web开发人员中能写出高效的多线程socket程序的人很少。 其中涉及很多知识,例如:进程,线程,锁,列队,进程间通信,共享内存,以及信号处理等等;没有10年功力很难写出安全,稳定,高效,可扩展的程序 UDP 能够发送大数据包
12.7.3. 接口性能问题
必须考虑接口最大会话数 处理请求后到返回数据所花费的时间 接口应该支持负载均衡,通过增加节点数量,快速扩展;同时添加与撤除节点不会影响接口的通信(包括节点硬件故障);同时接口应该具备健康状态检查功能。
第 23 章 Web Service Security
目录
23.1. 权限控制与实现23.2. 演示23.3. 增加7 Layer防火墙
<?php /* * ===================================== * Website: http://netkiller.github.com * Author: neo <netkiller@msn.com> * Email: netkiller@msn.com * ===================================== */ class Logging { protected $file; public function __construct($logfile = "/tmp/debug.log"){ $this->file = fopen($logfile,"a+"); } public function __destruct() { //fclose($this->file); } public function close() { fclose($this->file); } private function write($msg){ fwrite($this->file,date('Y-m-d H:i:s').' '.$msg."\r\n"); } public function info($msg){ $this->write(__FUNCTION__.' '.$msg); } public function warning($msg){ $this->write(__FUNCTION__.' '.$msg); } public function error($msg){ $this->write(__FUNCTION__.' '.$msg); } public function debug($msg){ $this->write(__FUNCTION__.' '.$msg); } } class Permission{ protected $_PERMISSION = array(); public function __construct($login){ $test = array( 'neo' => array( 'News'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ), 'RSS'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ) ), 'jam' => array( 'News'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ), 'RSS'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ) ) ); //print_r($test); $this->load($test[$login]); } public function load($arr){ $this->_PERMISSION = $arr; } public function is_allowed($class, $fun){ $class = trim($class); $fun = trim($fun); //echo $class, $fun; //print_r($this->_PERMISSION); if(array_key_exists($class,$this->_PERMISSION)){ if(array_key_exists($fun,$this->_PERMISSION[$class])){ if($this->_PERMISSION[$class][$fun] == 'Y') return true; //return in_array("Y",$this->_PERMISSION[$class][$fun]); } } return false; } public function is_denied($class, $fun){ return (!$this->is_allowed($class, $fun)); } public function scan(){ return true; } } class News extends Permission{ private $logging; public function __construct(){ parent::__construct('neo'); $this->logging = new Logging('/tmp/news.log'); } public function __destruct() { $this->logging->debug('news->get permission denied!!!'); $this->logging->close(); } public function add(){ if(!$this->is_allowed(__CLASS__,__FUNCTION__)) return; print("Allowed!!! \r\n"); $this->logging->info('news->add ok'); } public function get(){ if( $this->is_denied(__CLASS__,__FUNCTION__)) { print("Denied!!! \r\n"); $this->logging->warning('news->get permission denied!!!'); } } } $news = new News(); $news->add(); $news->get();
23.1. 权限控制与实现
权限来自下面数组数据,这里仅仅提供一个例子,管理权限你可以单独实现一个class,实现供权限管理功能,最终后转化为下面的数据结构即可。例如你可以将权限写入数据库,最终拼装如下数字让Permission顺利load即可。
array( 'neo' => array( 'News'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ), 'RSS'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ) ), 'jam' => array( 'News'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ), 'RSS'=> array( 'add' => 'Y', 'remove' => 'N', 'update' => 'Y' ) ) );
public function is_allowed($class, $fun) 用户判断权限是否合法。
23.2. 演示
这里提供了一个 News 类,用于演示怎样控制每个function的权限。
同时还提供了一个简单的 Logging 类用于记录程序运行日志。
有了上面的例子就可以将News应用于SOAP一类Web Service上,用来控制每个方法的权限
23.3. 增加7 Layer防火墙
上面仅仅对于方法控制权限,接下来我们为程序增加7层防火墙功能
<?php /* * ===================================== * Website: http://netkiller.github.com * Author: neo <netkiller@msn.com> * Email: netkiller@msn.com * ===================================== */ class Firewall{ protected $status; protected $policy; protected $chain; protected $rule; protected $match; private $debug; //$get,$post,$cookie,$server; public function __construct() { $this->name = "Firewall"; } public function __destruct() { //print "Destroying " . $this->name . "\n"; } public function enable(){ $this->status = true; } public function disable(){ $this->status = false; } public function get(){ if($this->status){ $this->chain = $_GET; return($this); }else{ return($this->status); } } public function post(){ if($this->status){ $this->chain = $_GET; return($this); }else{ return($this->status); } $this->chain = $_POST; } public function cookie() { if($this->status){ $this->chain = $_COOKIE; return($this); }else{ return($this->status); } } public function server(){ if($this->status){ $this->chain = $_SERVER; return($this); }else{ return($this->status); } } public function match($key, $value){ if($this->debug) print_r($this->chain); $this->match = false; if(!array_key_exists($this->chain, $key)){ if($this->chain[$key] == $value){ $this->match = true; } } return($this); } public function policy($p){ $this->policy = $p; } public function counter($tm, $cnt){ return($this); } public function allow($fun = null){ if($this->status && $this->match){ if($fun){ $fun(); } } $this->destroy(); return($this->status); } public function deny($fun = null){ if($this->status && $this->match){ if($fun){ $fun(); } } $this->destroy(); return($this->status); } public function debug($tmp){ $this->debug = $tmp; } public function ip($ipaddr){ return $this->server()->match('REMOTE_ADDR', $ipaddr); } public function destroy(){ $this->chain = array(); $this->match = false; } }; #include_once('firewall.php') $fw = new Firewall(); $fw->debug(true); $fw->debug(false); $fw->enable(); //$fw->disable(); function test(){ echo 'OK'; }; function allow(){ echo 'allow'; }; function deny(){ echo 'deny'; }; //$fw->policy('blacklist'); $fw->ip('192.168.3.17')->allow('allow'); $fw->ip('192.168.3.17')->deny('deny'); $fw->counter('1m',5)->match('id','1000')->deny('test'); /* $fw->ip('172.16.0.0/24')->allow(); $fw->ip('172.16.0.0','255.255.255.0')->allow(); $fw->header(array('User-Agent' => 'MSIE5'))->deny() */ $fw->get()->match('id','1000')->deny('test'); $fw->get()->match('name','chen')->allow('test'); //$fw->get()->match(array('id' => '1000'))->deny(); /* $fw->post()->data(array('action'=>'/login.php'))->allow() $fw->cookie()->data(array('userid'=>'test'))->deny() */ $fw->server()->match('HTTP_REFERER', 'http://www.mydomain.com/index.html')->allow('test'); $fw->server()->match('REQUEST_METHOD', 'GET')->deny('test'); $fw->disable(); //$fw->destroy();
这里仅仅给你一个思路,我并没有写完程序。例如控制IP请求次数可以如下实现,请自行改善程序
<?php /* * ===================================== * Website: http://netkiller.github.com * Author: neo <netkiller@msn.com> * Email: netkiller@msn.com * ===================================== */ require 'SharedConfigurations.php'; $single_server = array( 'host' => '127.0.0.1', 'port' => 6379, 'database' => 0 ); $multiple_servers = array( array( 'host' => '127.0.0.1', 'port' => 6379, 'database' => 15, 'alias' => 'first', ), array( 'host' => '127.0.0.1', 'port' => 6380, 'database' => 15, 'alias' => 'second', ), ); $client = new Predis\Client($single_server, array('prefix' => 'fw:')); $key=$_SERVER['REMOTE_ADDR']; if(!$client->exists($key)){ $client->setex($key, 20, 1); }else{ $client->incrby($key,1); } $counter = $client->get($key); if($counter > 10){ echo 'Deny'; } print_r($client->get($key)); //var_dump($client->keys('*'));
时间: 2024-09-19 02:46:45