本文介紹了一些關(guān)于Java API安全和性能方面的簡(jiǎn)單易用的技巧，其中包括保證API Key安全和開發(fā)Web Service方面中在框架方面選擇的一些建議。

　　程序員都喜歡使用API！例如為app應(yīng)用構(gòu)建API或作為微服務(wù)架構(gòu)體系的一部分。當(dāng)然，使用API的前提是能讓你的工作變得更輕松。為了簡(jiǎn)化開發(fā)和提高工作效率所作出的努力，有時(shí)也意味著需要尋找新的類庫(kù)或者過程（或者減少過程）。對(duì)于很多開發(fā)團(tuán)隊(duì)來說，對(duì)于其APP和API進(jìn)行管理認(rèn)證和訪問控制要耗費(fèi)很多的時(shí)間，因此我們需想分享一些技巧，它們能節(jié)約你的時(shí)間，減少代碼編寫量，并能讓你的應(yīng)用更加安全和易于維護(hù)。

　　先介紹下本文提及的背景知識(shí)：Okta是一個(gè)基于REST、JSON API構(gòu)建的Java應(yīng)用，使用Spring框架構(gòu)建。我們公司的應(yīng)用，是保存用戶的身份憑證和其他公司的敏感數(shù)據(jù)，所以對(duì)我們來說，安全是最重要的。因此，我對(duì)這些技巧的第一個(gè)要求是，它們能幫助令到你的Java應(yīng)用更安全。

　　這些建議應(yīng)該是任何類型的Java應(yīng)用都是通用的。它們會(huì)幫助你更快地編寫代碼，但代碼量更少了，同時(shí)又更安全：這真的是三贏的結(jié)果！

　　1. 不要自己去實(shí)現(xiàn)安全框架

　　說真的，不要嘗試自己去實(shí)現(xiàn)安全方面的代碼，這太難了。

　　幾乎每個(gè)人都知道避免去實(shí)現(xiàn)加密等算法。同樣道理，你的應(yīng)用的安全棧的其余部分也是一樣，可能需要花費(fèi)很大，得到的風(fēng)險(xiǎn)也很大。你很可能會(huì)犯一些錯(cuò)誤。自1999年以來，已經(jīng)有89373個(gè)CVE（公共漏洞和暴露）發(fā)布了。而其中公開的大部分的發(fā)現(xiàn)者都是那些非常聰明的人。

　　你可能認(rèn)為處理一個(gè)簡(jiǎn)單的用例（例如驗(yàn)證用戶的密碼）是很簡(jiǎn)單的事情——你所做的一切只是比較一對(duì)字符串。這樣想就錯(cuò)了。你需要驗(yàn)證密碼的哈希值，審核嘗試登錄的次數(shù)，減少針對(duì)字典的攻擊，這只是冰山一角。你最好的選擇是使用現(xiàn)有的成熟的庫(kù)或框架，例如Apache的Shiro或者SpringSecurity，讓這些框架去處理各類復(fù)雜的安全問題。

　　2. Use TLS， Always！ 永遠(yuǎn)使用TLS！

　　現(xiàn)在已經(jīng)是2017年了，所有的網(wǎng)站都應(yīng)該使用HTTPS了，甚至是公司的內(nèi)網(wǎng)。Let’s encrypt 讓HTTPS變得輕松和簡(jiǎn)單，這意味著你能不再使用不安全的自簽密鑰了！你甚至可以在本地設(shè)置帶證書認(rèn)證的Tomcat或者Nginx實(shí)例。

　　能讓你的應(yīng)用需要TLS（HTTPS/SSL）只需要簡(jiǎn)單的一行代碼，所有人都應(yīng)該這樣做！如果使用Apache Shiro框架，只需要設(shè)置屬性：

　?。踰rls］/** = ssl

　　如果使用Spring Security，，只需要在設(shè)置HttpSecurity時(shí)，簡(jiǎn)單調(diào)用一個(gè)方法即可。

　　http.requiresChannel（）

　　.anyRequest（）.requiresSecure（）;

　　在Spring Boot中，僅需設(shè)置一些屬性，如下：

　　server.port=8443

　　server.ssl.key-store=classpath:keystore.jks

　　server.ssl.key-store-password=secret

　　server.ssl.key-password=another-secret

　　3. 使用Spring Boot創(chuàng)建Web Service

　　Spring Boot是Spring平臺(tái)的一個(gè)簡(jiǎn)化，能讓編寫Spring應(yīng)用變得很簡(jiǎn)單，例如能用很少的代碼，編寫《app應(yīng)用中考慮的12個(gè)因素》一文中提到的觀點(diǎn)。如果你還在使用建War包的方式編碼，那么Spring Boot值得你去學(xué)習(xí)。使用Spring Boot可以復(fù)雜的、不同類型的應(yīng)用，例如可以使用簡(jiǎn)單的注解（@EnableResourceServer）就搭建一個(gè)OAuth資源服務(wù)器，或者通過簡(jiǎn)單的屬性改變其端口：

　　server.port = 8090

　　如果不喜歡使用SpringBoot，那么可以使用Dropwizard去搭建JAX-RS技術(shù)棧。

　　4. 監(jiān)視應(yīng)用和性能指標(biāo)

　　如果無任何數(shù)據(jù)的情況下是很難發(fā)現(xiàn)程序的錯(cuò)誤的。Spring Boot通過使用Actuator，能讓收集指標(biāo)數(shù)據(jù)變得容易，只需要在應(yīng)用中增加一個(gè)依賴，如下：

　　《dependency》

　　《groupId》org.springframework.boot《/groupId》

　　《artifactId》spring-boot-starter-actuator《/artifactId》

　　《/dependency》`

　　然后就可以通過瀏覽器中，在訪問應(yīng)用地址后輸入/health 或者/metrics去檢查應(yīng)用的健康情況或者指標(biāo)。Dropwizard框架通過/healthcheck和/metrics實(shí)現(xiàn)同樣的功能。

　　下面是Spring Boot應(yīng)用通過/metrics 輸出的結(jié)果：

　　{

　　“classes”： 7704，

　　“classes.loaded”： 7704，

　　“classes.unloaded”： 0，

　　“counter.status.200.metrics”： 1，

　　“gauge.response.metrics”： 99.0，

　　“gc.ps_marksweep.count”： 2，

　　“gc.ps_marksweep.time”： 272，

　　“gc.ps_scavenge.count”： 8，

　　“gc.ps_scavenge.time”： 136，

　　“heap”： 3728384，

　　“heap.committed”： 470016，

　　“heap.init”： 262144，

　　“heap.used”： 207793，

　　“httpsessions.active”： 0，

　　“httpsessions.max”： -1，

　　“instance.uptime”： 25020，

　　“mem”： 529086，

　　“mem.free”： 262222，

　　“nonheap”： 0，

　　“nonheap.committed”： 60608，

　　“nonheap.init”： 2496，

　　“nonheap.used”： 59067，

　　“processors”： 8，

　　“systemload.average”： 5.56103515625，

　　“threads”： 24，

　　“threads.daemon”： 22，

　　“threads.peak”： 28，

　　“threads.totalStarted”： 32，

　　“uptime”： 37182}

　　5. 保護(hù)敏感信息

　　人們都認(rèn)為API密鑰是不安全的，這是事實(shí)。密鑰通過電子郵件發(fā)送或源代碼管理系統(tǒng)控制。也許這是它們看起來比密碼更不安全的原因，但它們也一樣敏感。如果需要將API密鑰存儲(chǔ)在文件中，請(qǐng)確保授予文件有限的訪問權(quán)限。例如，我們建議在私人目錄

　　中存放Okta的YAML文件并且賦予文件所有者只讀權(quán)限。

　　$ chmod u=r，go-rwx ~/.okta/okta.yaml

　　如果你正為使用你的APP的用戶創(chuàng)建API，記得提醒他們，如果無設(shè)置好權(quán)限的話，.SSH的忽文件是放在你的~/.ssh目錄下，如果無設(shè)置好權(quán)限的話。GitHub 把它們放在“危險(xiǎn)區(qū)域”，以提醒用戶，這是十分有用的