dubbo接口存在什么安全性问题?

streamlong 发布于 2018/08/08 17:52
阅读 1K+
收藏 1

因为dubbo接口大多属于微服务系统间的调用,不像http或者wsdl这种,都是直接暴露在外,请问这种接口,有可能直接单独被捕获访问到吗?存在什么安全性问题?针对这类接口的测试,需要像http之类的接口一样做很完备的入参校验吗?

我的疑惑来源:因为dubbo接口属于系统间调用的,各方存在依赖关系,比如C系统调用B系统接口,B系统接口调用A系统接口,A系统接口只是单纯的接受B传过来的入参,并不会对B传过来的入参做规范校验,(尤其是遇到参数是大对象的这种)这样一旦上层接口传参有问题的时候,下层接口是没办法知晓的。

而且从service层切入的接口测试,跟直接从最外层切入的接口测试,对入参校验的要求是不一样的。有些代码规范里面,入参校验写在controller层,service层就很少涉及参数校验,都是拿来直接用的。

思考题:从不同层面切入接口去做对应的接口测试,那各自的被测点,侧重点分别都有哪些?

加载中
1
Raphael_goh
Raphael_goh
内部服务,局域网隔离,外面扫不到的,除非有内鬼。互联网服务主要要保证性能,加那么多限制没必要,对外的处理一下就行了。不过想加授权也是可行的,grpc可以设置一个简单的密钥,dubbo不知道是否有。
0
x
xiaojo

dubbo 后台管理页面有限制通信的功能 限制那些ip访问那些服务 不可能直接给你访问

0
0
唐代de豆腐
唐代de豆腐

dubbo一般都做内部系统服务,加那么安全检验干嘛. 网关入口强检验还差不多

返回顶部
顶部