程序員都喜歡使用API！例如為app應用構建API或作為微服務架構體系的一部分。當然，使用API的前提是使用了API能讓你的工作變得更輕松。為了簡化開發(fā)和提高工作效率所作出的努力，有時也意味著需要尋找新的類庫或者過程（或者減少過程）。對于很多開發(fā)團隊來說，對于他們的APP和API進行管理認證和訪問控制要耗費很多的時間，因此我們需想分享一些技巧，它們能節(jié)約你的時間，減少代碼編寫量，并能讓你的應用更加安全和易于維護。

先介紹下本文提及的背景知識：Okta是一個基于REST、JSON API構建的Java應用，使用Spring框架構建。我們公司的應用，是保存用戶的身份憑證和其他公司的敏感數(shù)據(jù)，所以對我們來說，安全是最重要的。因此，我對這些技巧的第一個要求是，它們能幫助令到你的Java應用更安全。

這些建議應該是任何類型的Java應用都是通用的。它們會幫助你更快地編寫代碼，但代碼量更少了，同時又更安全：這真的是三贏的結果！

不要自己去實現(xiàn)安全框架

說真的，不要企圖自己去實現(xiàn)安全方面的代碼，這太難了。

幾乎每個人都知道避免自己去實現(xiàn)加密等算法。同樣道理，你的應用的安全棧的其余部分也是一樣，可能花費很大，得到的風險也很大。你很可能會犯一些錯誤。自1999年以來，已經(jīng)有89373個CVE(公共漏洞和暴露)發(fā)布了。而其中公開的大部分的發(fā)現(xiàn)者都是那些非常聰明的人。

你可能認為處理一個簡單的用例（例如驗證用戶的密碼）是很簡單的事情——你所做的一切只是比較一對字符串。這樣想就錯了。你需要驗證密碼的哈希值，審核嘗試登錄的次數(shù)，減少針對字典的攻擊，這只是冰山一角。你最好的選擇是使用現(xiàn)有的成熟的庫或框架，例如Apache的Shiro或者SpringSecurity,讓這些框架去處理各類復雜的安全問題。

2.Use TLS,Always!永遠使用TLS！

現(xiàn)在已經(jīng)是2017年了，所有的網(wǎng)站都應該使用HTTPS了，甚至是你公司的內(nèi)網(wǎng)。Let’s encrypt讓HTTPS變得輕松和簡單，這意味著你能不再使用不安全的自簽密鑰了！你甚至可以在本地設置帶證書認證的Tomcat或者Nginx實例。

能讓你的應用需要TLS(HTTPS/SSL)只需要簡單的一行代碼，所有人都應該這樣做！例如如果使用Apache Shiro框架，只需要設置屬性：

[urls]/**=ssl

如果使用Spring Security,，只需要在設置HttpSecurity時，簡單調(diào)用一個方法即可。

http.requiresChannel()
.anyRequest().requiresSecure();

在Spring Boot中，僅需設置一些屬性，如下：

server.port=8443
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=secret
server.ssl.key-password=another-secret

使用Spring Boot創(chuàng)建Web Service

Spring Boot是Spring平臺的一個簡化，能讓編寫Spring應用變得很簡單，例如能用很少的代碼，編寫《app應用中考慮的12個因素》一文中提到的觀點。如果你還在構建War包的方式編碼，那么Spring Boot值得你去學習。使用Spring Boot可以復雜的、不同類型的應用，例如可以使用簡單的注解（ EnableResourceServer）就搭建一個OAuth資源服務器，或者通過簡單的屬性改變其端口：

server.port=8090

如果不喜歡使用SpringBoot,那么可以使用Dropwizard去搭建JAX-RS技術棧。

監(jiān)視應用和性能指標

如果無任何數(shù)據(jù)的情況下是很難發(fā)現(xiàn)程序的錯誤的。Spring Boot通過使用Actuator,能讓收集指標數(shù)據(jù)變得容易，只需要在應用中增加一個依賴，如下：

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>`

然后就可以通過瀏覽器中，在訪問應用地址后輸入/health或者/metrics去檢查應用的健康情況或者指標。Dropwizard框架通過/healthcheck和/metrics實現(xiàn)同樣的功能。

下面是Spring Boot應用通過/metrics輸出的結果：

{
"classes":7704,
"classes.loaded":7704,
"classes.unloaded":0,
"counter.status.200.metrics":1,
"gauge.response.metrics":99.0,
"gc.ps_marksweep.count":2,
"gc.ps_marksweep.time":272,
"gc.ps_scavenge.count":8,
"gc.ps_scavenge.time":136,
"heap":3728384,
"heap.committed":470016,
"heap.init":262144,
"heap.used":207793,
"httpsessions.active":0,
"httpsessions.max":-1,
"instance.uptime":25020,
"mem":529086,
"mem.free":262222,
"nonheap":0,
"nonheap.committed":60608,
"nonheap.init":2496,
"nonheap.used":59067,
"processors":8,
"systemload.average":5.56103515625,
"threads":24,
"threads.daemon":22,
"threads.peak":28,
"threads.totalStarted":32,
"uptime":37182}

保護你的敏感信息

人們都認為API密鑰是不安全的，這是事實。密鑰通過電子郵件發(fā)送或源代碼管理系統(tǒng)控制。也許這是因為它們看起來比密碼更不安全的原因，但它們也一樣敏感。如果需要將API密鑰存儲在文件中，請確保授予文件有限的訪問權限。例如，我們建議在私人目錄中存放Okta的YAML文件并且賦予文件所有者只讀權限。

$chmod u=r,go-rwx~/.okta/okta.yaml

如果你正為使用你的APP的用戶創(chuàng)建API，記得提醒他們，如果無設置好權限的話，.SSH的忽文件是放在你的~/.ssh目錄下，如果無設置好權限的話。GitHub把它們放在“危險區(qū)域”，以提醒用戶，這是十分有用的。

以上就是動力節(jié)點java培訓機構的小編針對“Java api的學習方法，五個技巧大家學起來”的內(nèi)容進行的回答，希望對大家有所幫助，如有疑問，請在線咨詢，有專業(yè)老師隨時為你服務。