XX金融API的管理、优化与安全.pptxVIP

金融API的管理、优化与安全API接口存贷汇理业务层金融行业要做自己的生态“好”接口难做接口如何安全稳定?数据如何治理？ 数据如何开放？调用部门控制调用频率控制高并发易卡顿接口易受攻击接口标准不统一，设计难接口、文档分离，维护难数据形式混杂 * 数据源不统一 * 输入输出不统一（Oracle、MySQL、File、Excel...）接口难以上下兼容（XML、JSON、TXT）国外“接口”发展趋势API PortalAPI AdaptorAPI ProxyAPI Analytics在国外，已有一系列API网关服务，助力企业解决接口问题AWS、APIGee、Mashery 国内首款专注于数据治理与接口整合的产品API统一与适配场景：新老接口混杂，输入输出不兼容；老接口无人维护，历史代码不敢碰；怎么办？接口输入统一化数据输出统一化接口HTTPS化云聚合后端 GET/say/hello?id=123 GET/say/hi?num=123{ “msg”:”hello word” “date”:2013-11-12’}xml texthello word/textxmlAPI设计与维护场景：想对外提供服务，不了解如何设计？标准是什么？Swagger Specification OpenAPI Specification类型定义、映射关系、安全标准 接口编写统一、标准、安全Swagger编写向导化API设计与维护场景：能否实现自动维护接口文档？开发者文档自动生成接口文档实现一体化客户端SDK自动生成API统一与适配场景：数据源众多，如何做统一？Oracle、MySQL、Hbase、Excel…不同类型数据源统一为RESTFul数据接口OracleOracle云聚合适配层GETGET云聚合适配层POSTMySQLPOSTMySQLPUTPUTDELETEExcelDELETEExcel接口权限控制场景：一个接口只授权给两个部门调用，每天调用不超过10次/分钟业务部门A身份识别权限控制流量控制数据后端业务部门B接口权限控制授权方式多样化：- API Key- Accesskey- OAuth 2.0- username/password- IP Range精准流控，接口隔离：- 请求/时间段- 流量/时间段让接口“飞起来” API不能加Cache？ 过期无法控制 损害业务逻辑HTTP GET /credit_card/buynow?goods=1002 RedisRedisRedisRedisRedis让接口“飞起来”为什么可以给API加Cache毫秒级cache控制经验cache规则自定义cache规则HTTP GET /credit_card/buynow?goods=1002 RedisRedisRedisRedisRedisAPI加速 – 事件驱动化GET /stock/list云聚合 ws:///stockHTTP协议接口转换为WebSocket/MQTT协议接口，大大提高接口实时性，1000+倍降低后端负载API安全 – 异步队列化场景：处理能力有限，高并发易卡顿，怎么办？用户DB分布式队列云聚合API接口用户DB 无代码编写，接口自动异步化 分布式队列，接口弹性可扩展 适配并发度，请求处理更有序API安全 场景：“幽灵”手机号不断试探，接口传输内容被截取，怎么办？目的行为风险后果应对sys-flood, udp-flood, 各种反射放大..瘫痪业务业务整体不可用DDoS攻击流量清洗抓取信息，获取商业信息使用爬虫抓取信息被抓取，数据外泄HTTP频率限制（灰IP机制）作弊探测达到个人商业目的编写工具进行各种试探如手机号探测、账号探测获取有用用户信息可能影响业务可用性IP相似路径分析CC攻击各种类型的HTTP攻击连接数攻击、CPU消耗攻击、流量消耗攻击等网站整体不可用影响业务可用性域名趋势分析+IP相似行为分析+机器学习分类识别瘫痪业务API安全HTTPS化内核级拦截智能化拦截高效处理能力多种攻击类型自定义规则THANKS！各位同学大家下午好！很荣幸站在这里给大家分享交流我们团队在运维方面的一些心得和实践首先感谢WOT主办方51cto的邀请我才有机会来到这里，其次感谢大家百忙之中过来探讨交流。