gRPC 通信框架实现存在数据泄露等安全挑战

gRPC 是一个高性能、开源和通用的 RPC 框架，面向移动和 HTTP/2 设计。目前提供 C、Java 和 Go 语言版本，分别是：grpc, grpc-java, grpc-go. 其中 C 版本支持C, C++, Node.js, Python, Ruby, Objective-C, PHP 和 C# 支持。

当前企业正在慢慢改用微服务架构来构建面向未来的应用程序，微服务使企业能够有效管理基础架构，轻松部署更新或改进，并帮助IT团队的创新和学习。它还可以帮助企业能够设计出可以轻松按需扩展的应用程序，此外，随着企业转换架构(从传统的单片式服务过渡到微服务)，出现了在微服务之间进行有效通信的需求。客户端和服务器应用程序之间的这种关键而复杂的通信可以通过gRPC来处理，该框架促进了已连接系统之间的透明和高效的通信。尽管它很新(仅在2015年由Google开发)，但它很快就获得了普及和采用。

在此文中，趋势科技将讨论开发人员在转向gRPC并在其项目中实现gRPC时可能面临的安全隐患。由于安全的gRPC API在整个应用程序安全中起着至关重要的作用，因此趋势科技提供了有关如何保护gRPC实施免受威胁并缓解风险的建议。

什么是gRPC?

gRPC可用于设计要求准确性、效率和语言独立性的新协议，因为它支持服务器和客户端的多种语言。这是一个云原生计算(CNCF)项目，并已被各大公司采用，例如流行的视频流网站Netflix，金融服务公司Square和平台即服务(PaaS)公司Docker。

将gRPC与其他RPC框架(例如SOAP和REST)进行了比较，尽管RESTful API被广泛使用，并且通常使用HTTP在应用程序或服务与JavaScript Object Notation(JSON)数据格式之间交换信息，但是它们具有性能和基于文本的方向限制。

许多组织已经将其API从REST迁移到gRPC，以利用更适合于服务间通信的gRPC二进制协议。默认情况下，gRPC使用HTTP / 2(基于二进制的协议)作为底层， HTTP / 2在一个TCP连接中支持多个流和请求，与其之前的HTTP / 1.0不同，HTTP / 1.0被设计为具有“单一请求，单一应答”方案。HTTP/1.1中的HTTP管道解决了这个问题，HTTP 2.0仍然具有更好的性能和更受支持。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!