2019年12月8日

摘要： API安全之授权 访问控制： 1，ACL ：Access Control Lists，直接给每个用户授权，他能访问什么。开发简单，但是用户多的话，给每个用户授权比较麻烦。 2，RBAC：Role Based Access Control。给角色授权，给用户赋予角色。授权简单，开发麻烦。 下边用ACL 阅读全文

摘要： 审计日志 定义：谁，在什么时间，干了什么事。 位置：认证之后，授权之前。 这样就知道是谁在访问，拒绝掉的访问也能被记录。如果放在认证之前，那么就不知道是谁在访问；如果放在授权之后，就没办法记录被拒绝的访问。 存储：审计日志一定要持久化，记在数据库里或者是文件，放在内存会丢失。（输出到公司的日志服务） 阅读全文

摘要： 1，数据校验，解决接口层的参数校验，是api安全的前线。可以用JSR303注解进行接口层面的校验 ，参考文章：https://www.ibm.com/developerworks/cn/java/j-lo-jsr303/index.html 2，密码加密（这个不说了，有很多加密算法），解决数据存储层 阅读全文