120 lines
4.3 KiB
Markdown
120 lines
4.3 KiB
Markdown
# 安全与风控设计 - ImageForge
|
||
|
||
目标:在“上传文件 + 对外 API + 计费”场景下,将最常见、最致命的安全与滥用风险前置到设计阶段,确保后续实现时有统一口径。
|
||
|
||
---
|
||
|
||
## 1. 威胁模型(摘要)
|
||
|
||
核心资产:
|
||
- 用户账号、API Key、订阅与账单数据
|
||
- 计算资源(CPU/内存/带宽/存储)与服务可用性
|
||
- 用户上传图片(可能包含隐私/商业机密)
|
||
|
||
主要攻击面:
|
||
- 上传入口(文件炸弹、DoS、恶意内容、路径/存储穿越)
|
||
- 认证入口(撞库、弱密码、Token 泄露)
|
||
- API Key(盗用、重放、暴力猜测)
|
||
- Webhook(伪造事件、重放、乱序)
|
||
- 管理后台(权限越权、配置投毒)
|
||
|
||
---
|
||
|
||
## 2. 认证与会话
|
||
|
||
### 2.1 用户登录
|
||
- 密码哈希:`argon2id`(带独立 salt,参数可配置)。
|
||
- 登录保护:基础限速 + 失败次数冷却;可选验证码(V1+)。
|
||
- 账号状态:`is_active=false` 直接拒绝登录与 API。
|
||
|
||
### 2.2 JWT 使用建议
|
||
- 对外 API:支持 Bearer Token(适合 CLI/SDK)。
|
||
- 网站(Vue3):优先使用 HttpOnly Cookie 承载会话(降低 XSS 泄露风险),如使用 localStorage 必须配合严格 CSP。
|
||
|
||
---
|
||
|
||
## 3. API Key 安全
|
||
|
||
### 3.1 Key 生成与展示
|
||
- Key 仅在创建时展示一次(前端明确提示“请立即保存”)。
|
||
- Key 前缀(`key_prefix`)用于列表展示与快速检索。
|
||
|
||
### 3.2 Key 存储与校验
|
||
推荐:`key_hash = HMAC-SHA256(full_key, API_KEY_PEPPER)`,只存 hash,不存明文。
|
||
|
||
理由:
|
||
- 校验快,适合高 QPS;
|
||
- pepper 作为服务器秘密(配置/密钥管理系统),泄露风险可控;
|
||
- 避免 bcrypt/argon2 用在高频 key 校验导致性能瓶颈。
|
||
|
||
### 3.3 权限与限制
|
||
- 最小权限:permissions(compress/batch/read_stats/billing_read 等)。
|
||
- 支持禁用/轮换;可选 IP 白名单(Business/V1+)。
|
||
- 每次请求记录 `last_used_at/last_used_ip/user_agent`(审计)。
|
||
|
||
---
|
||
|
||
## 4. 上传与图片处理安全
|
||
|
||
### 4.1 输入校验
|
||
- 只依赖扩展名不安全:必须校验魔数/探测真实格式。
|
||
- 设定上限:
|
||
- `max_file_size_mb`
|
||
- `max_pixels`(宽×高)
|
||
- `max_dimension`(单边)
|
||
- 解码超时(Worker 层,避免卡死)
|
||
|
||
### 4.2 资源隔离
|
||
- 压缩属 CPU 密集型:放到 Worker;API 只做编排与轻量校验。
|
||
- Worker 限制并发:按“用户/套餐”与“全局”双维度控制。
|
||
- 对异常图片:快速失败并记录审计与指标(格式错误/像素超限/解码失败)。
|
||
|
||
### 4.3 元数据(隐私)
|
||
- 默认移除 EXIF(定位/设备信息),除非用户明确开启 `preserve_metadata=true`。
|
||
- UI 必须清晰提示该开关的隐私含义。
|
||
|
||
---
|
||
|
||
## 5. 计费风控(防盗刷/滥用)
|
||
|
||
- **幂等**:`Idempotency-Key` 防止重试导致重复扣费。
|
||
- **配额硬限制**:到达当期额度返回 `QUOTA_EXCEEDED`(HTTP 402)。
|
||
- **匿名试用**:每日 10 次(成功文件数计),采用 **Cookie + IP** 双维度 Redis 计数做硬限制。
|
||
- **异常检测**(告警即可,首期不必自动封禁):
|
||
- 短时间内用量突增
|
||
- 失败率异常升高(疑似 fuzzing/探测)
|
||
- 单 Key 多 IP 快速切换
|
||
|
||
---
|
||
|
||
## 6. Webhook 安全
|
||
|
||
必须要求:
|
||
- 验签(provider 签名 + webhook secret)。
|
||
- 事件幂等:按 `provider_event_id` 去重。
|
||
- 重放保护:记录 `received_at` 与处理状态,拒绝重复处理。
|
||
- 最小暴露:webhook 路由不接受浏览器跨域调用,不返回敏感信息。
|
||
|
||
---
|
||
|
||
## 7. Web 安全(前端/网关)
|
||
|
||
### 7.1 HTTP 安全头(建议由 Nginx 设置)
|
||
- `Strict-Transport-Security`
|
||
- `Content-Security-Policy`(至少限制脚本来源;如用第三方支付跳转按需放开)
|
||
- `X-Content-Type-Options: nosniff`
|
||
- `Referrer-Policy`
|
||
- `Permissions-Policy`
|
||
|
||
### 7.2 CORS 策略
|
||
- 若前后端同域:尽量不启用宽松 CORS。
|
||
- 若分离部署:CORS 白名单仅放行前端域名;对 `/webhooks/*` 禁止 CORS。
|
||
|
||
---
|
||
|
||
## 8. 数据安全与保留
|
||
|
||
- 结果保留期:按套餐(Free 24h、Pro 7d、Business 30d 等),匿名更短。
|
||
- 支持用户主动删除任务/文件(立即删除对象存储 + DB 标记/审计)。
|
||
- 审计日志留存与脱敏:保留必要字段(IP、UA、动作、对象 ID),避免写入明文密钥/Token。
|