当前位置: 首页 > 科技观察

微服务安全测试的关键——接口安全机制

时间:2023-03-21 15:10:17 科技观察

在微服务测试过程中,目前针对接口功能和性能测试的解决方案很多,但是关于接口安全机制和测试方法的介绍并不多,这里我将介绍相关内容,帮你解决接口安全测试问题!接口安全机制主要包括以下几个方面:认证:确保你的用户或客户是真实的自己。授权:确保对API的每次访问都经过授权。审核:确保记录所有操作,以供追溯和监控。流量控制:防止用户请求泛滥API。加密:确保进入和退出API的数据是私有的。下图对我们理解接口的安全机制有很大的帮助。我们提供的API在最右边,用户在最左边。我们需要在两者之间添加一个安全机制。接口安全测试点全程加密:API中包含的数据必须加密。测试点:接口抓包,核心数据必须加密。需要和研发人员确认加密算法不能是常用的加密算法。流量控制:防止黑客在应用系统层面使用DDos攻击,导致应用系统长时间无法响应正常的用户访问请求。测试点:使用压力测试工具(如jemeter)在一定时间内频繁调用接口,看是否符合流控方案。例如:1.同一个IP一秒内可以调用多少次接口\请求多少带宽2.调用失败最终响应信息3.该ip是否加入黑名单认证方式:使用cookie、session、token、key等认证机制测试点:接口携带错误的cookie、session、token、key接口携带过期的cookie、session、Token、key审计:通过接口请求的日志记录,实现对非法请求的溯源。测试要点:调用API后,调用信息是否记录在日志中,频繁调用是否准确记录在日志中。授权:一般使用ACL访问控制(通过赋予不同的用户访问权限实现)或者使用rbac(基于用户、角色、权限关联实现)。测试点:不同角色是否可以访问API,比如普通用户不能使用管理员专用的API