专栏特辑 | 开发安全铁三角纵横谈（十三）安全组件与安全框架

为了能更好地理解今天所讲，请大家先回顾一下之前“开发安全铁三角纵横谈”内容：专栏特辑 | 开发安全铁三角纵横谈（十二）

组件方案介绍

组件对外提供远程接口服务和工具方法,远程接口服务与项目在内网通信，由使用者从组件管理系统申请访问令牌，可根据项目自行调整相关配置和黑白名单参数。

接口服务有：

远程参数检测接口，可支持检测项：SQL注入攻击、XSS攻击、文件上传/下载参数、扫描器识别；

远程访问频率控制接口，可支持：短信炸弹防御；

远程token生成/校验接口：token生成和校验，用于防重放攻击等；

其他工具方法组件以源码或jar包形式提供安全开发API，组件包括：密码找回组件，分步提交组件，Cookie安全工具，转义组件，数据脱敏组件，随机数生成器，业务安全日志组件。

组件结构设计

对外统一调用接口：统一实例化对象的调用接口

安全组件模块：防范相关的业务攻击

配置文件处理类：初始化组件默认配置项

底层日志处理：与业务攻击统一监控系统交互，并发送使用日志和攻击日志。

单组件结构设计

1.2.1单组件结构设计图

1.2.2单组件包结构

优先级

综合考虑行内现有防范措施，依据17个组件的重要性、 紧急性、易实现性，对其进行评分。根据综合评分，排序如下：