English
灵魂拷问:你做的应用安全吗?
每个工程师,每个测试人员,在验收项目的时候,对功能需求的满足,心里是有底的。甚至也可以模拟大并发来测试应用的性能。
但要问你交付的应用是否安全?那不管工程师还是测试,心里都没底。
实现功能没问题,至于安全嘛...
安全是一个独立且专业的事情,如果不是一个优秀的黑客,很难发现应用的众多安全问题。
普通工程师和测试人员是无法达到这个水平的。
由于http的无状态特性,服务器很难识别客户端的真伪。这是一个真实请求,还是伪造的假客户端?一个貌似简单的识别问题,难住了很多人。
网络传输的数据,在中间被各种路由器和不规范的运营商偷窃和劫持。
如果您的应用有如下特征,就非常容易被黑客盯上:
攻击者为了你的数据,或者为了褥你的羊毛,可以破解你的网络请求、伪造假的客户端去请求你的服务器、用手机墙批量操作。
你原本期待给正常用户提供福利,以拉新或促活,结果一场促销后,正常用户没得到好处,全给黑客褥走了。
让普通工程师和测试人员具备黑客能力是不现实的,DCloud为开发者赋能,解决了这些安全顾虑。
在过去,客户端和服务器是强分离的,它们使用不同的技术开发,中间通过无状态的http协议交流。
现在,DCloud同时提供了端引擎uni-app和云引擎uniCloud,统一了技术栈,在uni-app开发的客户端和uniCloud开发的服务器之间,使用了更安全的网络通信机制。
安全网络仅支持App和微信小程序,其他小程序和web无法保证客户端不被伪造。
在uni安全网络里,可靠的解决了如下2个老大难问题:
使用步骤:
这样,这个客户端和这个服务空间之间就建立了安全网络。云端可以准确识别客户端的真伪,可以在uniCloud控制台直接设置拒绝非法客户端连接您的服务空间。
这条安全网络,几乎不会对请求速度等性能指标产生影响,但又保证可以识别假客户端、马甲包。
另外,还可以在指定的网络请求中做内容加密。不管是云对象请求还是云函数的callFunction,都可以设置secret(一个bool参数)来对通信内容加密。
secret设为true时,这些内容将被加密传输,无法被中间的路由器或伪造客户端解密。
但注意内容加密是影响请求速度的,加解密耗时与内容的数据量有关。数据量小时,可以忽略影响;数据量大时,需自己进行实际测试来评估体验。
uni安全网络还可以鉴别客户端的包名、签名证书,识别客户端设备是否被root或越狱,禁止非法设备访问。
uni安全网络需要开发者在uniCloud上开通,但并不收费。
如此高安全的保障,在商业项目中都需要花掉不少银子来采购。但DCloud免费给uniCloud开发者提供。
uni云端一体安全网络文档:详见
还有一类攻击,攻击者没有破解掉客户端和网络协议,但是用一排排手机墙。
一键登录
是运营商提供的安全方案,它要求手机中必须插sim卡,并且从sim中精准读取手机号,防止手机短信验证码被打码池伪造返回。
而实人认证
更近一步,是公安部提供的数据库,阿里云提供的活体检测,金融级的安全保障。
输入姓名、身份证,然后启动摄像头,可以检测摄像头前的这个人:
这样手机墙的操作者,不但需要有众多手机号、身份证照片,还需要众多人站在手机墙面前做活体检测,这他就褥不着多少羊毛了。
uni的一键登录
和实人认证
不但和uni产品完美结合、快捷开发,还比市面上其他类似产品的价格更便宜。
一键登录仅需0.02元/次,比发短信验证码都便宜。
实人认证是阶梯价格,详见
这些价格都极具优势。如果您有非常大的量,还可以再联系bd@dcloud.io沟通。
不管是一键登录还是实人认证,在uni-id里都已经内置集成好。
无需自己写代码。账户的注册、实人认证,这些代码都已经写好并开源在uni-id-pages项目中。
但是注意
WARNING
如果您没有使用uni安全网络,直接使用一键登录和实人认证。仍然会遇到被刷的风险。 因为这些认证都是收费的,如果没有安全防护,攻击者可以刷你的服务器接口,盗用你的余额来给他提供认证服务,或者干脆就是刷的让你破财。
在人机验证领域,uni还提供了免费的图形验证码。
当然有的攻击者,不是为了你的数据或你的羊毛,而是单纯的就想打垮你的服务。最常见的就是DDoS攻击。
此时,如果使用uniCloud,因为域名是阿里云或腾讯云的,ip不是固定的,攻击者无法通过域名和ip单独DDoS你的服务空间。
如果让攻击者攻击整个阿里云或腾讯云的serverless资源池,那这个池子太大了,那些攻击者根本无法打垮uniCloud服务。
uniCloud还提供了ip防刷功能,可以在uniCloud web控制台设置,拉黑某些ip,或者自动屏蔽指定时间内访问次数过高的ip。
如果您的应用涉及用户提交内容,那么有一个很大的风险就是用户提交非法内容,导致您的应用被公安或运营商禁封。
此时,uni的内容安全插件可以帮助您过滤掉用户提交的风险内容,不管是非法的文字还是图片。
uni-app或5+App,支持对js文件或nvue文件进行原生加密。让js代码不再明文暴露于客户端。详见
DCloud联合业内主流安全厂商,提供uni安全加固产品,可实现移动App的安全性增强,防止应用程序被破解、篡改或重打包等各类安全破坏。它的作用是保护应用程序的安全性和用户的隐私,提高应用程序的抗攻击能力和可靠性。
有uni保驾护航,您可以专注于业务,踏实写代码,安心交付。不用再提心吊胆、担忧各种自己不擅长的事。
uni安全网络只能在uni-app客户端和uniCloud服务之间保障安全。如果您的服务器在其他技术上,或者迁移到uniCloud,或者用uniCloud转发。转发的意思就是客户端和uniCloud联网,uniCloud云函数再与您的传统服务器通信。一键登录和实人认证是虽然也是uniCloud服务器,但相对独立。传统服务器可以与uniCloud通信来使用这些能力。详见附录中这些产品单独的文档。