前后端分離架構系統安全性設計與實現

摘要：前后端分離架構因其技術棧選型的靈活性和前后端可并行開發的便利性成為現代Web應用開發的主流方案，但其無狀態特性和API的完全暴露也對系統安全性提出了更高的要求。針對上述特點，研究從驗證碼機制、敏感信息加密傳輸與存儲、用戶令牌管理、權限控制、防暴力破解及防SQL注入等關鍵環節入手，提出了一套系統化的安全解決方案，實現了用戶端、傳輸層、服務端、存儲層的全鏈條縱深防御體系，為同類系統的安全實踐提供了可復用的技術路徑。

關鍵詞：對稱加密；非對稱加密；權限控制；令牌；SQL注入；API限流

中圖分類號：TP311" " " 文獻標識碼：A

文章編號：1009-3044（2025）24-0031-05

開放科學（資源服務） 標識碼（OSID）

0 引言

近年來，隨著互聯網的快速發展，線上業務系統的數量迅速增長，隨之產生的海量信息數據已成為數字經濟時代的核心資產。信息安全直接關系到用戶隱私、企業聲譽乃至國家安全。2018年，歐盟頒布《通用數據保護條例（GDPR） 》；2021年，中國頒布《個人信息保護法（PIPL） 》。這些法規的出臺，標志著國內外對信息安全的重視程度達到了新的高度。

作為數字經濟的重要載體，Web應用（尤其隨著前后端分離架構的廣泛采用） 因其開放性和高交互性，成為數據泄露與網絡攻擊的高發領域。表1中列出的近年來頻發的數據泄露與越權訪問事件，值得開發者警醒。

1 前后端分離架構的安全性挑戰

前后端分離架構以技術選型靈活、高性能與可擴展性、跨平臺兼容性、研發效率高等優點，成為現代Web應用開發的主流方案。然而，相較于傳統MVC架構的服務端渲染模式，該架構API接口的完全暴露特性更容易被工具掃描和獲取完整的結構化數據（如JSON格式） ，會話管理機制變革（如替代Session的Token體系） 也更容易引發Token被偽造和密鑰泄露問題。一旦上述漏洞被發現，若API的權限控制體系又相對脆弱、沒有限流機制，往往會造成災難性后果。表1中列舉的信息安全事件均是上述原因綜合被黑客利用的結果。

OWASP① Top 10（2021） [1]和OWASP API Security Top 10（2023） [2]報告顯示，在Web應用及API安全威脅中，失效的訪問控制、認證機制缺陷、暴力破解、注入攻擊以及加密機制失效等風險持續位列高危漏洞前列。這些漏洞一旦被利用，可能導致數據泄露、權限提升甚至系統淪陷等嚴重后果。

2 前后端分離系統關鍵安全性設計與實現

為系統化應對這些安全挑戰，需要構建覆蓋身份認證與授權、數據傳輸安全、持久化數據保護的全生命周期防御體系。具體而言，系統應具有完備的授權體系與鑒權機制，接口應具備限流機制，數據應遵守最小化暴露原則，敏感信息應保證傳輸和存儲加密并做好密鑰管理。上述安全性相關設計應在系統設計初期前置納入整體架構考量，盡量減少安全性問題的發生。以下將從架構設計原則（聚焦零信任架構設計、關鍵流程重點防御設計等） 和工程實現（側重加密算法選型、安全編碼實踐等技術落地） 兩個維度，詳細闡述針對性的解決方案。

2.1 驗證碼

驗證碼是一種應用于萬維網的質詢-響應測試，用于鑒別用戶是人類還是計算機[3]，是系統安全性和公平性的重要保證。常見的驗證碼類型包括字符驗證碼、拼圖驗證碼、短信驗證碼和郵箱驗證碼等。其中，短信驗證及郵箱驗證方式一般對接運營平臺的短信網關或郵箱服務器，通過將驗證碼發送至用戶手機或郵箱的方式完成驗證，流程相對簡單固定，安全性高，但依賴外部系統的響應。如果使用電子郵件驗證，還需要用戶登錄郵箱查收驗證碼郵件，在用戶體驗上表現不佳。除此之外，上述兩種驗證方式在實際投產應用中也會產生部分費用。因此，保留一種不依賴外部系統且安全性較高的驗證方式是必要的。對比幾種常見的驗證碼類型（見表2） ，傳統字符驗證碼因其容易被OCR識別但不易被人識別而逐漸被淘汰；拼圖驗證碼雖可以被計算機視覺技術識別，但通過對拼圖行為分析可以有效識別出這種人機差異（計算機進行拼圖時的運動軌跡通常是機械的，例如勻速、直線等） 。因此，設計中采用拼圖驗證碼+行為分析的方式作為驗證碼的首選方案。

拼圖驗證碼+行為分析需要前后端協作完成驗證過程，具體過程如圖1所示。當用戶請求登錄時，后端隨機選取圖庫中的一張圖片，對圖片進行隨機切割，將切割出的拼圖塊與切掉拼圖塊后的原圖返回給前端，由前端將拼圖呈現給用戶（見圖2） 。在用戶進行拼圖的過程中，前端不斷收集用戶行為數據。用戶完成拼圖后，前端將用戶的拼圖行為數據及拼圖位移信息等傳給后端。后端對用戶行為及用戶最終拼圖結果進行分析判定，并將判定結果返回前端。如果驗證無誤，前端將用戶之前輸入的賬號、密碼、拼圖位移信息提交給后端進行登錄驗證。若沒有拼圖位移信息或者拼圖位移信息錯誤，后端驗證接口將拒絕此次用戶密碼的校驗。特別需要注意的是，后端在登錄過程中對驗證碼完成二次驗證后，須將驗證碼銷毀，以免重復使用。

2.2 敏感信息加密傳輸

在用戶登錄過程中，通常需要提交賬號、密碼等敏感信息。服務端可通過強制HTTPS訪問、關閉棄用的傳輸層安全協議（例如SSL1.0、SSL2.0、SSL3.0、TLS1.0、TLS1.1等） ，僅保留安全的加密套件（例如TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_GCM_SHA256等） 等方式，盡可能保護數據以安全的加密方式傳輸。

雖然上述防御措施能夠有效降低傳輸過程中的信息泄露，但中間人攻擊（MITM） 仍可能構成威脅[4]。如圖3所示，攻擊者通過在用戶瀏覽器與服務器之間建立代理連接，誘導用戶安裝偽造的根證書。一旦得逞，攻擊者既能獲取服務器的真實證書，又可解密HTTPS傳輸的加密數據，從而竊取用戶的登錄憑證。

用戶信任偽造的證書是導致敏感信息被竊取的根本原因，因此，用戶安全意識教育也是安全防御體系中的重要一環。技術層面上，客戶端應在應用層對敏感信息進行加密后傳輸，使中間人即使能夠解密HTTPS的密文，也仍然無法直接獲取敏感信息，從而起到保護作用。但如果使用對稱加密算法，加密密鑰會在前端暴露，容易被黑客獲取，失去加密的意義。因此，該場景下需要使用非對稱加密算法（如RSA） 進行加密。RSA加密算法的原理是公鑰加密，私鑰解密。公鑰可以公開發給客戶端，私鑰必須保留在服務端，不可泄露。客戶端利用公鑰對敏感信息（例如密碼） 加密后發送，服務端使用私鑰解密后進行驗證。具體設計如圖4所示。

2.3 敏感信息加密存儲

用戶密碼及部分用戶個人信息例如手機號、身份證號、銀行卡號等信息，持久化存儲在數據庫中，一旦發生泄露，將造成嚴重的信息安全事件。為了增強上述信息的存儲安全性，對敏感信息應加密后再存儲。由于該場景的加密與存儲行為均發生在服務端，因此應當選用高安全性的對稱加密算法進行加密。其中，AES128加密算法以其密碼學安全性和抗暴力破解特性被廣泛應用。該加密算法的常見工作模式、原理、優缺點見表 3。具體實現中推薦選用GCM模式，須避免使用ECB模式。

對稱加密的密鑰管理是關鍵。在成本可控的前提下，優先選擇云托管方式管理密鑰。AWS、Azure、GCP等主流云服務商均提供專業的密鑰管理解決方案。密鑰分為主密鑰（KEK） 和數據加密密鑰（DEK） ，其中KEK僅用來對DEK進行加密，DEK用來對數據進行加密解密。KEK不離開云服務器，使用KEK加密后的DEK存放在本地數據庫中（見圖5） 。如無法接入云資源，KEK需要單獨存放在特定的服務器，并設置文件的最小訪問權限，確保僅有特定用戶（例如應用程序） 可訪問。密鑰需要設置版本號，以支持流轉機制（例如每6個月更換） 。

2.4 用戶令牌（Token）

用戶密碼是用戶身份的關鍵敏感信息，應盡可能減少暴露。除登錄接口需要攜帶用戶密碼信息外，其余接口利用Token（例如JWT） 保證請求的合法性。Token在用戶首次成功登錄系統后，由服務端發放給客戶端，客戶端應緩存Token，以便后續請求服務端服務時，攜帶在請求中。Token包括訪問令牌（AccessToken） 和刷新令牌（RefreshToken） 。AccessToken是短期的有效令牌，過期時間通常在15～30分鐘，用來訪問服務端受保護的資源；RefreshToken是長期的有效令牌，過期時間通常在幾天至幾十天，用于獲取新的AccessToken。用戶通過賬號、密碼方式登錄或者由于AccessToken過期觸發刷新Token，系統將頒發新的AccessToken和RefreshToken（見圖6） 。這種設計既保證了安全性，又避免了需要頻繁登錄導致用戶體驗不佳。

2.5 權限分離的訪問控制

Web應用系統一般采用RBAC（Role-Based Access Control，基于角色的訪問控制） 模型將用戶角色與訪問權限相關聯。根據用戶角色決定用戶在系統中的訪問權限，以便實施授權和安全約束。該模型通過增加角色這一概念，將權限與角色之間、角色與用戶之間建立關聯，提高了授權的靈活性，更容易實現權限的最小化原則，以及職責分離等各種安全策略[5]。

系統權限設計與實現主要是基于RBAC模型，數據庫設計如圖7所示。但傳統的基于RBAC模型的訪問控制需要超級用戶為其他用戶授權，導致超級用戶權限過大，且易出現過度授權。針對這一問題，系統設計提出在初始化時內置默認角色，對系統功能先行劃分控制。例如，表4給出了一種默認角色劃分的舉例。用戶管理員、審計管理員、操作管理員等3個默認角色分別從用戶管理、審計、系統操作層面切分系統功能，默認角色分配管理員為第4個默認角色，當且僅當用戶具有該角色時，可以為其他用戶分配默認角色。系統通過邏輯控制默認角色互斥，同一個用戶最多只能分配1個默認角色。擁有默認角色的用戶可以在默認角色的權限范圍內創建子角色并為子角色授權，但授權功能不擴散，即子角色只能擁有默認角色中除授權功能外的其他功能。一個用戶可以關聯多個角色，但多個角色必須歸屬于同一個默認角色，以保證權限不可跨默認角色流動。

上述設計可以保證擁有特定角色的用戶只能在頁面上看到和操作該角色擁有權限的功能。但攻擊者一般會繞過前端，通過直接調用后端接口的方式進行攻擊。如API接口未有效根據用戶身份進行鑒權，則會出現垂直越權（例如普通用戶可以調用管理員接口） 與水平越權（例如A用戶查詢修改B用戶的數據） 兩類安全性問題。因此，后端接口需要在每次被調用時，首先根據用戶id定位該用戶是否具有訪問該接口的權限，確保接口不接受越權（垂直越權） 請求，具體流程如圖8所示。另外，對于普通用戶，系統也需要確保用戶id與用戶所操作數據所有者的id一致，以杜絕水平越權問題。

2.6 防暴力破解

用戶注冊與登錄接口是防暴力破解攻擊的重點，須綜合使用強制復雜用戶密碼（例如密碼長度8位以上，必須包括大寫字母、小寫字母、特殊字符和數字） 、多次密碼錯誤鎖定賬號一段時間、驗證碼等策略共同建立防護機制。對于其他接口，可采用基于令牌桶算法的限流機制，并在API被調用時根據接口是否要求用戶登錄分別采用基于用戶的限流或基于IP地址的限流，以確保盡量精確地控制被限流對象，具體流程如圖9所示。

2.7 防SQL注入

防SQL注入主要依靠ORM框架保證。目前主流的ORM框架例如Java的MyBatis、.NET的Entity Framework、Python的Django等均通過預編譯語句、參數化查詢參數等方式實現了防SQL注入。開發者依賴成熟ORM框架提供的安全接口進行開發即可有效避免SQL注入。

3 結束語

本研究聚焦前后端分離架構下的系統安全設計與實現，從驗證碼機制、敏感信息加密傳輸與存儲、用戶令牌管理、權限控制、防暴力破解及防SQL注入等關鍵環節入手，提出了一套系統化的安全解決方案。通過引入驗證碼和限流策略，有效抵御自動化腳本攻擊，提升了系統的抗暴力破解能力。采用HTTPS協議與非對稱加密技術保障了數據傳輸的機密性，結合AES等算法實現敏感數據的加密存儲，降低了數據泄露風險。基于JWT的令牌機制與基于角色的訪問控制模型，實現了用戶身份的動態校驗與細粒度訪問控制。特別地，對傳統RBAC模型下存在超級用戶權力過大和易出現過度授權的問題，給出了針對性的設計與解決方案。此外，通過參數化查詢與ORM框架的運用，從根源上阻斷了SQL注入漏洞。這些設計方案在保障系統功能性的同時，保證了系統的安全性，為同類系統的安全實踐提供了可復用的技術路徑。然而，隨著技術演進和環境變化，前后端分離架構的安全防護需持續演進。未來須進一步研究AI對Web API帶來的新挑戰，例如智能自動化攻擊、防御機制繞過、深度身份偽造等。在現有安全防護基礎上，結合AI手段綜合防御，逐步從傳統的規則防御轉向“AI對抗AI”的防御新范式。

注釋：

① OWASP（Open Web Application Security Project，開放網絡應用安全項目） 是一個非營利性組織，專注于提高軟件和網絡應用的安全性.

參考文獻：

[1] OWASP.OWASP Top 10[EB/OL].[2023-10-20].https：//owasp.org/Top10.

[2] OWASP.OWASP API Security Top 10[EB/OL].[2023-10-20].https：//owasp.org/API-Security/editions/2023/en/0x11-t10.

[3] VON AHN L，MAURER B，MCMILLEN C，et al.reCAPTCHA：human-based character recognition via Web security measures[J].Science，2008，321（5895）：1465-1468.

[4] 鄧真，劉曉潔.HTTPS協議中間人攻擊的防御方法[J].計算機工程與設計，2019，40（4）：901-905.

[5] 雷驚鵬.一種基于角色訪問控制模型的設計與實現[J].長沙大學學報，2022，36（5）：15-23.

【通聯編輯：謝媛媛】