前言
一个后端已经看到自家App的请求在抓包软件里明文裸奔了。
用户名、密码、token、用户手机号……应有尽有,童叟无欺。黑客:感谢大自然的馈赠。
计网没学好,黑客遍地跑,完了你还不知道他们怎么打你的。
通信协议只是做基础防护,真正的防火墙还得靠专业技术。
今天的话题就是:
通信安全怎么做。
第一部分:为什么要关心通信安全?(给真·萌新扫盲)
一句话人话版:
通信安全就是给你的数据穿上衣服。你的数据在网络上跑,不穿衣服就等于在闹市裸奔——谁都能看,谁都能摸。
技术人话版:
通信安全是保护数据在客户端和服务端传输过程中不被窃听、篡改、冒充的一系列措施,包括加密、证书校验、防重放等。
没有通信安全的系统:
- 用户登录 → 密码明文传输 → 黑客抓包 → 账号到手
- 支付请求 → 订单金额被篡改 → 0.01元买走iPhone
- API调用 → 无身份验证 → 任何人都能调
有通信安全的系统:
- HTTPS + 证书校验 → 数据加密,中间人看不懂
- 请求签名 → 参数被篡改就失效
- Token + 时间戳 → 防重放攻击
第二部分:通信安全翻车现场(核心吐槽)
操作1:HTTP走天下,HTTPS是什么?
场景:萌新觉得HTTP够用了,“HTTPS要证书多麻烦”。于是API用HTTP,WebSocket用ws,密码不加密直接传。
后果:抓包软件一开,用户名密码在眼前飘。
老鸟内心:你洗澡不关门,还怪别人偷看?HTTP就是那个没关的门。更何况公共场合裸奔还违法呢。
操作2:用了HTTPS但不校验证书
场景:萌新知道要用HTTPS,但为了“省事”,客户端不校验证书——任何证书都信任。
后果:黑客做个假证书,中间人攻击,HTTPS形同虚设。
老鸟内心:你装了防盗门,但不锁。跟没装有什么区别?白瞎这么多钱了。
操作3:密码明文传输
场景:萌新觉得“反正有HTTPS了”,密码直接明文传给后端。
后果:HTTPS只是传输加密,到了服务器日志里,密码可能在日志里明文躺着。黑客一个抓包,密码全都泄露。
老鸟内心:你把密码写脸上,然后在脸上套个塑料袋,就当别人看不见了?
操作4:token放在URL里
场景:萌新把认证token直接放在URL参数里,/api/user?token=abc123。
后果:URL会被浏览器历史、服务器日志、代理服务器记录下来,token满天飞。
老鸟内心:你把家钥匙贴在门牌号下面,写“钥匙在这,请自取”。
操作5:请求不签名,参数随便改
场景:萌新写API,没有请求签名机制。用户修改请求参数,服务端照单全收。
后果:黑客把amount=100改成amount=1,支付0.01元买iPhone。
老鸟内心:你家信箱没锁,邮递员把你的信改了你还不知道。
操作6:没有防重放机制
场景:萌新的API可以被重复调用同一笔订单接口。黑客抓包后反复重放,用户被扣N次钱。
后果:用户投诉,客服崩溃,技术背锅。
老鸟内心:你把付款码发朋友圈,还问为什么被刷了好多次。
操作7:敏感信息在日志里明文输出
场景:萌新为了方便调试,把请求参数完整打印:log.info("登录请求:" + phone + "," + password)。
后果:密码在日志里明文躺着,服务器被黑=所有密码白给。
老鸟内心:你把用户密码写在公告栏上,“方便大家查看”,服务器被黑了就老实了。
操作8:不做降级/熔断
场景:通信安全是做了,但被DDoS或单一服务挂了,整个系统瘫痪。
后果:安全措施=锁,黑客只是把门卸了而已。
老鸟内心:你只锁了窗户没锁门,小偷直接堂堂正正走进你家大门。
第三部分:通信安全铁律(什么该做)
铁律1:全站HTTPS,包括API和WebSocket
- 生产环境必须HTTPS/WSS
- 本地开发可以用HTTP,但上线前检查
- HTTP在现代互联网≈裸奔
铁律2:客户端必须校验证书
- 不要信任所有证书,必须校验主机名和证书链
- 不要随便把自签证书加到信任列表
- 不校验证书的HTTPS=装了门但没锁
铁律3:敏感数据二次加密
- 密码不光靠HTTPS,客户端加盐哈希再传输
- 建议:HTTPS + 非对称加密/对称加密
- HTTPS是你的外套,密码还需要把自己裹严实
铁律4:Token放Header,不放URL
- Authorization: Bearer
- 不让token出现在URL、日志、浏览器历史里
- URL里的token≈写在脸上的银行卡密码
铁律5:请求签名,防篡改
- 关键请求(支付、修改数据)必须签名
- 签名算法:将参数排序后拼接密钥,计算哈希
- 让黑客改一个参数就签名失效
铁律6:防重放
- 请求加时间戳(timestamp)+ 随机数(nonce)
- 服务端缓存nonce,一定时间内用过的就拒绝
- 让黑客的截图重放变成废纸
铁律7:日志脱敏
- 密码、token、身份证、手机号——打日志前要脱敏
- 可以打印长度/前缀后几位
- 日志是排查问题的,不是泄露数据的
铁律8:降级/熔断要有逃生预案
- 关键服务降级要有严格卡控,别让异常流量冲进来
- 认证服务熔断时要有逃生预案,但逃生不等于裸奔
第四部分:常见攻击与防御手段
| 攻击类型 | 攻击方式 | 防御手段 |
|---|---|---|
| 窃听 | 抓包看数据 | 加密传输 |
| 中间人攻击 | 伪造证书,冒充服务器 | 证书校验+固定证书/公钥 |
| 篡改 | 改请求参数 | 请求签名 |
| 重放 | 重复发送抓到的请求 | timestamp + nonce |
| 撞库 | 用泄露的密码试别的网站 | 服务端二次加密(加盐) |
| DDoS | 打死通信链路让你断网 | 降级+熔断+限流 |
第五部分:老鸟内心精选(通信安全受害者版)
萌新:“用了HTTPS,是不是就安全了?”
老鸟内心:
HTTPS是你家房门,不是保险柜。你睡了觉不锁门试试?
你当黑客只会拦路抢劫,不会蹲你点啊?
HTTPS只保路上不被偷,不保到家后不被抢。
萌新:“我在URL里放token怎么了?”
老鸟内心:
怎么了?你家里钥匙挂门口,还问“怎么了”?自己活该!
URL会被收藏、会被分享、会被记录。你是希望别人收藏你的token?
萌新:“密码反正后端会加密,我为什么要做客户端加密?”
老鸟内心:
后端加密是存的时候加密。
你传的是明文,路上被人抓了,后端加密有什么用?
人家偷的是路上跑的,不是仓库里存的。
萌新:“这个请求没有防篡改,用户应该不会乱改吧?”
老鸟内心:
应该?程序员字典里,就没有“应该”这两个字!
你赌用户不会乱改,黑客赌你会写bug。你猜谁赢?
萌新:“防重放太麻烦了,不做了吧”
老鸟内心:
不麻烦。等用户发现被扣了3次钱来找你的时候,更不麻烦。
你写代码麻烦5分钟,用户投诉你麻烦5天。
第六部分:总结
萌新 vs 老鸟 通信安全对比
| 维度 | 萌新 | 老鸟 |
|---|---|---|
| 传输加密 | HTTP/不校验证书 | HTTPS + 证书校验 |
| 密码处理 | 明文传输 | 客户端加密 + 服务端加盐哈希 |
| token位置 | URL里 | Header里 |
| 请求防篡改 | 没有 | 签名机制 |
| 防重放 | 没有 | timestamp + nonce |
| 日志敏感信息 | 明文打印 | 脱敏处理 |
最后一句人话:
你以为你做了安全?黑客还觉得你是个好人呢。
你不做HTTPS,黑客谢谢你。
你不校验证书,黑客谢谢你。
你不加密密码,黑客谢谢你。
你不做防重放,黑客谢谢你。
你什么都“太麻烦”,黑客什么都“不麻烦”。你写代码是工作,黑客找漏洞是事业。
你在划水,他在游泳。
等你掉水里了,黑客甚至还可能落井下石。
附:第十四期自测题
问自己三个问题,有一个“否”你就还是安全萌新:
- 你抓过自己App的包吗?用户名密码是明文的吗?
- 你的API有防篡改/防重放机制吗?
- 你的日志里有密码/token吗?
三个“是”才及格。少一个,回去加固。