php重放,Api 接口安全-防篡改,防重放理解总结
防篡改
为什么要防篡改
http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确
举个栗子, 现在有个充值的接口, 调用给用户对应的余额
http://localhost/api/user/recharge?user_id=1001&amount=10
给指定id的用户加上10块钱的余额
如果用户id被篡改,余额参数被篡改,也就是说,可以给任何用户加余额
如何防篡改 - 设计sign
客户端: 每次请求客户端都带一个 sign 参数给服务端, 这个所谓的 sign 就是一个字符串
服务端: 每次处理请求之前先验证 sign 是否合法, 如果不合法就不处理
生成 sign 和验证 sign: 怎么生成和验证, 需要客户端和服务端约定好
3.1. 客户端生成 sign: 可使用 公私钥非对称加密 的方式, 也可以使用计算字符串 md5 或者 hash 值的方式, 这个被加密的字符串最好不是固定的,取时间戳, 请求参数等就可以, 每次客户端把生成sign传递给服务端
3.2. 服务端根据约定好的算法验证sign是否正确就可以
不一定非得叫 sign 这么个名字, 就是个请求参数的名称而已
http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdf6sdfs87f67
防重放
设计了防篡改之后, 接口总算是安全了那么一点点, 但是还不够...还需要对接口设计防重放设置
为什么要防重放
防重放也叫防复用,简单来说,就是我获取到这个请求的信息之后, 我什么也不改, 我就拿着接口的参数去 重复请求这个充值的接口,也就是说我的请求是合法的, 因为所有参数都是跟合法请求一模一样的,也就是说: 服务端的 sign 验证一定能通过, 但是此时, 我可以去重复请求这个充值的接口, 也就是我能够重复的充值(假设这个接口没有做其他逻辑处理,调用就能充值,我只是假设, 别抬杠), 调用一次加 10 块钱余额, 2次就是20...这就不合理了
防重放设计
客户端在请求中添加两个参数
1.1 添加一个随机不重复的字符串参数 比如uuid 至于怎么让他不重复,可以考虑拼接时间戳,md5随机数等
1.2 添加一个请求时间的参数 如 request_time 值就是发送请求时的 时间戳
服务端接收到请求之后:
2.1 去缓存里中查找 uuid 这个参数对应的值是否存在
2.2 如果不存在: 就把这个uuid的值保存到缓存中, 记录这个请求
2.3 如果已存在: 存在那就证明, 已经请求过一次了, 就不处理这个请求了
缓存可以是redis也可以是其他存储介质,应该给缓存设计过期时间,因为请求多了,就会有大量的 uuid 保存在缓存中
参考
http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdffs87f67&request_time=1561095355627&uuid=1561095355627aUjKs
php重放,Api 接口安全-防篡改,防重放理解总结相关推荐
- 电商系统中API接口防止参数篡改和重放攻击(小程序/APP)
说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是AP ...
- post 防篡改_安全|API接口安全性设计(防篡改和重复调用)
API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token.时间戳和Sign三个机制展开设计. 1. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Tok ...
- (转)API接口防止参数篡改和重放攻击
API重放攻击(Replay Attacks)又称重播攻击.回放攻击.他的原理就是把之前窃听到的数据原封不动的重新发送给接收方.HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到 ...
- 服务器自带的防篡改,防篡改系统
产品优势 一.技术先进 采用先进的文件驱动防篡改技术,稳定.可靠.高效.兼容性高. 新一代内核驱动及文件保护,确保防护功能不被恶意攻击或者非法终止 支持大规模连续篡改攻击保护. 二.保护全面 实时动态 ...
- 高并发之API接口,分布式,防刷限流,如何做?
点击上方"朱小厮的博客",选择"设为星标" 后台回复"加群"加入公众号专属技术群 在开发分布式高并发系统时有三把利器用来保护系统:缓存.降级 ...
- api压测工具_高并发之API接口,分布式,防刷限流,如何做?
在开发分布式高并发系统时有三把利器用来保护系统:缓存.降级.限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解 ...
- php 文件防篡改,防篡改php文件校验程序
/** * 校验线上源文件是否和本地的一致 * User: Administrator * Date: 2015/11/26 * Time: 9:30 */ include_once 'functio ...
- Android开发规范:API接口安全设计规范
公众号[国民程序员]回馈粉丝福利: 现金红包和送书活动火热进行中,点击参与! 我的新书<Android App开发入门与实战>已于2020年8月由人民邮电出版社出版,欢迎购买. 书籍详情请 ...
- (七、api接口安全设计)莞工校招助手【微服务应用】
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 -- 自定义注解,防止表单重复提交 参考 安全|API接口安全性设计(防篡改和重复调用) 参考 API接口安全设计 参考 数据加密 ...
最新文章
- postgresql 遍历参数_PostgreSQL 对简单树的遍历
- python人工智能入门优达视频_机器学习:优达教你搭建Python 环境的正确姿势
- django 学习 (三) 模板变量
- next.js 无法导出及导出图片无法加载等问题
- java 数组转化为arraylist_在Java中怎样把数组转换为ArrayList?
- 【CodeForces - 707B】Bakery(思维水题)
- Python数据结构之字节,字节数组
- tomcat 加载js 中文乱码
- 设置div中的背景颜色及div中的字体颜色
- dolphinscheduler 3.0.1 资源中心
- html5教程 如何加背景图片
- M3U8 文件介绍 与 播放方法
- Visual C++游戏编程基础之多背景循环动画
- MATLAB激活了还需要激活
- CityMaker学习教程07 示例代码的使用CSharp
- linux-note:Linux Basics
- python 解决 Invalid HTTP_HOST header
- JavaScript正则表达式----RegExp类型, 代码说明简单易懂
- 根据汉字获得它的拼音
- 每日一题——小b和灯泡(数论)
热门文章
- Linux 调优篇:虚拟化调优(hugepage 大页内存)* 叁
- 大剑无锋之什么是值传递和引用传递?【面试推荐】
- leetcode 954. Array of Doubled Pairs | 954. 二倍数对数组(Java)
- 深度比较Paxos和Raft
- Hadoop推测执行(以空间换取时间)
- linux开机自动启动数据库,mysql随linux开机自动启动
- bp神经网络_BP神经网络的原理介绍
- RunTime.getRunTime().addShutdownHook的用法
- Linux网络编程 之 UDP编程(六)
- C++题解-Leecode 520. 检测大写字母——Leecode每日一题系列