快递柜也能攻击?——论API的安全性
PickPoint是俄罗斯一家拥有自助快递柜的物流公司,类似于国内的丰巢,顾客可以用这些快递柜来存放他们在网上购买的商品。而最近PickPoint遭到了黑客攻击,在莫斯科有2732个快递柜被自动打开。
因为这是一次真正成功的攻击,而不是理论研究,所以细节很少。然而,根据外网网友的判断,这看起来像针对API的攻击:
1.在网上发布的视频里,我们可以看到快递柜是一个接一个打开的,而不是一次全部打开;
2.遭到攻击的地方没有联系,发生在整个城市,没有人亲自走到快递柜面前;
3. PickPoint是API驱动的,是由某供应商提供的技术支持。
现在越来越多的公司通过通过以各种方式对API及其背后的资源的访问来获得盈利,像上面例子发生的攻击事故也层出不穷,那么有没有什么方法来保证API接口的安全性呢?
答案是API网关。
简单来说,API网关就是随着微服务结构的使用频率增加,应运而生的一个管理工具:聚合多个不同API的统一出口,同时对API进行流量控制/统计、身份校验等操作。
有了统一的流量入口,API网关就可以在内部服务之间引入消息安全性,使内部服务更加安全,并且消息在加密的服务之间来回传递。
接下来推荐几个合格的API网关产品
- Zuul:是一种网关服务,可提供动态路由,监控,弹性,安全性等,用Spring Cloud全家桶推荐。
- Kong:是在客户端和(微)服务间转发API通信的API网关,通过插件扩展功能,开源版基本沟通。
- eoLinker:是国产的网关产品,这两年做的还挺好的,有开源的不同的版本,可以适配各种规模团队。
我们现在用的是第三个,感兴趣可以去官网看看,也欢迎大家来和我交流心得。
网址:www.eolinker.com
