导语:
开年多起 API 滥用与撞库事件提醒我们:零信任必须做成“默认动作”。本文给出账户与 API 场景的实战清单:强身份、签名防重放、自适应风控、证据化审计。
1. 资产分级与指标
- 分级:公开/受限/高危;资金、配置、导出、模型调用为高危。
- 目标指标:重放拦截率、成本护栏触发率、误报率、审计可检索率、例外收敛率。
2. 强身份与授权
- 身份:高危接口 MTLS/硬件密钥;受限接口 OIDC/JWT,绑定设备/地域指纹。
- 授权:Scope/Claims 按动作/资源拆分;高危动作 Step-up MFA。
- 会话:短 TTL、旋转刷新;异常地理/设备要求二次验证。
3. 签名与重放防护
- 请求:
timestamp + nonce + signature(HMAC/RSA),有效期 5 分钟;命中缓存即拒绝。 - 响应回执:关键操作返回签名回执,便于举证。
- 观测:签名失败、重放命中、误报样本入索引与看板。
4. 自适应风控与成本护栏
- 限流:IP/用户/租户/Token/地域/设备多维;高成本接口独立预算。
- 行为基线:登录/配置/支付/模型调用速率模型;异常触发验证码/MFA/阻断。
- 成本:对大模型/高成本接口设 tokens/秒 与总额预算;超限自动降级或阻断。
- 对抗:异常 UA/脚本调用增加摩擦或阻断;关键路径设验证码/MFA 阶梯。
5. 数据与隐私
- 日志脱敏:保留必要字段,敏感字段遮罩;日志可检索可导出。
- 输入过滤:SQL/代码/提示注入检测;隐私词与泄漏风险拦截。
- 出口控制:跨境/跨域访问需审批与水印;导出操作全链路记录。
6. 审计与证据
- 记录:身份、签名结果、风险评分、策略版本、动作、成本、回执哈希。
- 取证包:CSV/PDF,包含请求摘要、决策过程、处置动作;支持时间线。
- 例外:审批有时限与责任人,过期自动失效并告警。
7. 对抗演练与灰度
- 场景:撞库/重放/成本滥用/模型越权/批量注册。
- 流程:先 5% 灰度,观察 401/429、误报样本、成本曲线,再全量;策略回滚需 5 分钟内完成。
- 验证:告警、阻断、回滚链路可用;日志与证据包完整。
8. 看板与周报
- 看板:请求量、签名失败/重放、风控命中、成本护栏触发、误报率。
- 周报:异常样本、策略调整、对抗演练结果、例外收敛。
- 成本页:高成本接口预算/实际/降级次数。
结语:
把“强身份 + 签名防重放 + 自适应风控 + 审计取证”固化到工程体系,才能在高并发与 AI 自动化环境下守住账户和 API。
9. 快速自检
- 强身份:高危接口 MTLS/硬件密钥启用,会话旋转与异常二次验证可用。
- 签名:请求签名与重放缓存开启;签名失败/重放命中有告警与取证。
- 风控:限流/行为/成本护栏生效;误报样本周收敛,策略可灰度与回滚。
- 审计:请求→决策→处置链路可导出;例外有时限与提醒。
- 演练:每月对撞库/重放/成本滥用至少各演练一次,记录阻断与回滚用时。
- 成本:高成本接口预算与配额上线,超限自动降级/阻断有告警。
10. 落地小步骤示例
- 在 API 网关开启
timestamp+nonce+HMAC签名校验与 5 分钟重放缓存; - 高危接口接入 MTLS 与硬件密钥白名单,配合 Scope 细分权限;
- 行为基线:登录、配置、导出、模型调用分别建立速率模型,触发验证码/MFA/阻断;
- 成本护栏:为大模型接口配置 tokens/秒 与日预算,超限自动降级为缓存或拒绝;
- 观测:Grafana/Looker 建立签名失败、重放命中、成本护栏触发、误报样本看板;
- 取证:把请求摘要、决策、处置动作、回执哈希按天生成取证包存储。
