17、无服务器应用程序的安全保障

无服务器应用程序的安全保障

安全处理是一个广泛而复杂的主题。如果处理不当，你的网站可能会被黑客攻击；即使一切都做对了，也不能完全排除被攻击的可能性。因此，了解常见的安全机制以避免网站出现漏洞至关重要，同时，要始终遵循经过大量测试且被证明可靠的推荐实践和方法。

1. 安全基础

安全专家有一个原则：不要自行开发。这意味着在生产系统中，绝不要使用自己开发的任何加密算法或安全模型。应始终使用经过广泛使用、测试且受信任来源推荐的解决方案。即使是经验丰富的人也可能犯错，使解决方案容易受到攻击，尤其是在需要高级数学知识的密码学领域。然而，如果一个提议的解决方案经过大量专家的分析和测试，出错的概率就会大大降低。

还有一种被称为“隐秘安全”的概念，它指的是一种安全模型，其实现机制不公开，人们认为由于没人知道其存在的缺陷，所以它是安全的。实际上它可能确实安全，但如果将其作为唯一的保护形式，这是一种糟糕的安全实践。如果黑客足够执着，即使不知道内部代码，也能发现其中的缺陷。因此，最好使用经过充分测试的算法，而不是自己开发的。

“隐秘安全”就像有人把钱埋在后院来保护它，而常见的安全做法是把钱存入银行。钱埋起来时可能是安全的，但一旦有人发现其存在并开始寻找，这种保护就失效了。

基于这些原因，在处理安全问题时，我们通常更倾向于使用开源算法和工具。虽然每个人都能访问并发现其中的缺陷，但也有大量专家参与查找和修复这些漏洞。

2. 信息安全的关键属性

在处理安全问题时，有几个重要属性需要考虑：
| 属性 | 描述 |
| — | — |
| 身份验证（Authentication） | 通过验证用户是否