+向他提问

最近在折腾API安全防护，发现不少新手容易忽略基础防护措施。今天整理了几条实战经验，都是血泪教训换来的干货。

先说身份验证这个老大难问题，好多安全漏洞都是从这里开始的。千万别直接用简单密钥糊弄事儿，建议上OAuth 2.0或者JWT这类标准协议。我们项目组吃过亏，之前用自己瞎搞的验证方案，结果被撞库攻击搞瘫痪过两小时。现在用OpenID Connect做单点登录，配合多因素认证，安全感提升不止一个档次。

数据加密这事儿得分开说。传输层必须上TLS 1.3，这没啥可商量的。去年审计的时候发现还有团队在用TLS 1.0，直接被开了高危漏洞单子。存储加密这块推荐AES-256，但千万记得定期轮换密钥。上次密钥半年没换，差点被离职员工搞事情，现在改成每月自动轮换才踏实。

参数校验容易被人当摆设，其实这才是防注入攻击的第一道防线。去年有个接口没做输入校验，让人家用SQL注入薅走了用户资料。现在我们的校验规则严格到变态：字符串长度、字符类型、取值范围三件套必须齐全。用正则表达式做模式匹配超管用，比如邮箱验证直接上RFC标准正则，省心又安全。

限流防护建议做成动态的。我们接入了机器学习算法，能自动识别异常流量。记得设置阶梯式限流策略：普通用户每秒50次，VIP客户放到200次，特殊白名单可以到1000次。这样既防住羊毛党，又不影响正常业务。上次大促全靠这个方案顶住了十倍流量冲击。

日志监控要玩出花样。别光记成功请求，异常参数、频率异常这些特征更要重点记录。我们搭了ELK日志系统，配了二十几个告警规则。有次凌晨三点收到短信告警，抓到一个正在暴力破解的IP，直接封禁止损。事后分析日志发现攻击者尝试了800多种组合，要是没监控就凉凉了。

最后说个容易被忽视的——接口版本管理。千万别直接在原接口上改，新功能开新版本号。我们吃过兼容性问题的亏，现在强制要求所有改动必须升版本。客户端强制更新机制也要跟上，旧版本满三个月自动停用，这样能快速淘汰存在漏洞的老接口。