【白山】探索金融API的管理优化安全2.2.pptx

金融API的管理、优化与安全丛磊 白山合伙人工程副总裁存贷汇理金融行业要做自己的生态API接口业务层接口标准不统一，设计难接口、文档分离，维护难数据形式混杂 * 数据源不统一 * 输入输出不统一（Oracle、MySQL、File、Excel.）接口难以上下兼容（XML、JSON、TXT）调用部门控制调用频率控制高并发易卡顿接口易受攻击数据如何开放？数据如何治理？ 接口如何安全稳定?“好”接口难做API PortalAPI AdaptorAPI ProxyAPI Analytics在国外，已有一系列API网关服务，助力企业解决接口问题AWS、APIGee、Mashery 国外“接口”发展趋势国内首款专注于数据治理与接口整合的产品接口输入统一化数据输出统一化接口HTTPS化场景：新老接口混杂，输入输出不兼容；老接口无人维护，历史代码不敢碰；怎么办？API统一与适配云聚合 GET/say/hello?id=123 “msg”:”hello word” “date”:2013-11-12 GET/say/hi?num=123 hello word后端场景：想对外提供服务，不了解如何设计？标准是什么？Swagger Specification & OpenAPI Specification类型定义、映射关系、安全标准 接口编写统一、标准、安全Swagger编写向导化API设计与维护场景：能否实现自动维护接口文档？API设计与维护开发者文档自动生成接口文档实现一体化客户端SDK自动生成不同类型数据源统一为RESTFul数据接口场景：数据源众多，如何做统一？Oracle、MySQL、Hbase、ExcelDELETEAPI统一与适配OracleMySQLExcel云聚合适配层GETPOSTPUTOracleMySQLExcel云聚合适配层GETPOSTPUTDELETE场景：一个接口只授权给两个部门调用，每天调用不超过10次/分钟身份识别权限控制流量控制接口权限控制业务部门A业务部门B数据后端授权方式多样化：- API Key- Accesskey- OAuth 2.0- username/password- IP Range精准流控，接口隔离：- 请求/时间段- 流量/时间段接口权限控制 API不能加Cache？ 过期无法控制 损害业务逻辑让接口“飞起来”HTTP GET /credit_card/buynow?goods=1002 RedisRedisRedisRedisRedis为什么可以给API加Cache毫秒级cache控制 经验cache规则自定义cache规则让接口“飞起来”HTTP GET /credit_card/buynow?goods=1002 RedisRedisRedisRedisRedisGET /stock/listHTTP协议接口转换为WebSocket/MQTT协议接口，大大提高接口实时性，1000+倍降低后端负载API加速 事件驱动化云聚合 ws:/ 无代码编写，接口自动异步化 分布式队列，接口弹性可扩展 适配并发度，请求处理更有序用户用户用户用户分布式队列云聚合DBDB场景：处理能力有限，高并发易卡顿，怎么办？API安全 异步队列化API接口API安全 场景：“幽灵”号不断试探，接口传输内容被截取，怎么办？CC攻击DDoS攻击瘫痪业务sys-flood, udp-flood, 各种反射放大.业务整体不可用流量清洗抓取信息，获取商业信息使用爬虫抓取信息被抓取，数据外泄HTTP频率限制（灰IP机制）作弊探测达到个人商业目的编写工具进行各种试探如号探测、账号探测获取有用用户信息可能影响业务可用性IP相似路径分析瘫痪业务各种类型的HTTP攻击连接数攻击、CPU消耗攻击、流量消耗攻击等网站整体不可用影响业务可用性域名趋势分析+IP相似行为分析+机器学习分类识别行为目的风险后果应对API安全HTTPS化内核级拦截智能化拦截自定义规则多种攻击类型高效处理能力丛磊，原新浪SAE创始人现白山云合伙人兼技术VP白山-互联网“老人”组成的创新公司-云链：云分发、云存储、云聚合-自主研发，安全可控-私有云部署，7*24服务支持THANKS！。