24、服务安全漏洞与防御策略

服务安全漏洞与防御策略

1. OAuth 协议概述

OAuth 1.0 已成为互联网 RFC（RFC 5849），OAuth 2.0 预计在 2010 年底推出，它针对 Web 应用程序、桌面应用程序、移动电话和家用设备有特定的流程。不过，OAuth 2.0 与 1.0 版本不向后兼容，参数不同，术语也有很多差异。

2. 服务安全的重要性

保障服务间交互安全的协议是安全的重要支柱，但良好的安全不仅涉及网络，还包括服务实现。可靠的服务必须能够容忍在网络上可能遇到的各种滥用情况，并妥善应对这些威胁。以下是构建可靠服务的五个重要安全主题：

3. 拒绝服务攻击（Denial of Service）

• 攻击表现 ：区分真正的用户交互和恶意请求可能很困难。攻击者常通过大量请求淹没服务，造成拒绝服务攻击。例如，恶意用户可能构造一个非常大的有效订单表示，如以下示例：

POST /order HTTP/1.1
Host: restbucks.com
Content-Type:application/vnd.restbucks+xml
<order xmlns=″http://schemas.restbucks.com/order″>
  <location>takeAway</location>
  <item>
  <name>latte</name>
  <quantity>1</quantity>
  <m