dubbo接口存在什么安全性问题?
因为dubbo接口大多属于微服务系统间的调用,不像http或者wsdl这种,都是直接暴露在外,请问这种接口,有可能直接单独被捕获访问到吗?存在什么安全性问题?针对这类接口的测试,需要像http之类的接口一样做很完备的入参校验吗?
我的疑惑来源:因为dubbo接口属于系统间调用的,各方存在依赖关系,比如C系统调用B系统接口,B系统接口调用A系统接口,A系统接口只是单纯的接受B传过来的入参,并不会对B传过来的入参做规范校验,(尤其是遇到参数是大对象的这种)这样一旦上层接口传参有问题的时候,下层接口是没办法知晓的。
而且从service层切入的接口测试,跟直接从最外层切入的接口测试,对入参校验的要求是不一样的。有些代码规范里面,入参校验写在controller层,service层就很少涉及参数校验,都是拿来直接用的。
思考题:从不同层面切入接口去做对应的接口测试,那各自的被测点,侧重点分别都有哪些?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
dubbo一般都做内部系统服务,加那么安全检验干嘛. 网关入口强检验还差不多
dubbo 后台管理页面有限制通信的功能 限制那些ip访问那些服务 不可能直接给你访问
内部服务,局域网隔离,外面扫不到的,除非有内鬼。互联网服务主要要保证性能,加那么多限制没必要,对外的处理一下就行了。不过想加授权也是可行的,grpc可以设置一个简单的密钥,dubbo不知道是否有。