防篡改

为什么要防篡改

http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确

举个栗子, 现在有个充值的接口, 调用给用户对应的余额

http://localhost/api/user/recharge?user_id=1001&amount=10

给指定id的用户加上10块钱的余额

如果用户id被篡改,余额参数被篡改,也就是说,可以给任何用户加余额

如何防篡改 - 设计sign

客户端: 每次请求客户端都带一个 sign 参数给服务端, 这个所谓的 sign 就是一个字符串

服务端: 每次处理请求之前先验证 sign 是否合法, 如果不合法就不处理

生成 sign 和验证 sign: 怎么生成和验证, 需要客户端和服务端约定好

3.1. 客户端生成 sign: 可使用 公私钥非对称加密 的方式, 也可以使用计算字符串 md5 或者 hash 值的方式, 这个被加密的字符串最好不是固定的,取时间戳, 请求参数等就可以, 每次客户端把生成sign传递给服务端

3.2. 服务端根据约定好的算法验证sign是否正确就可以

不一定非得叫 sign 这么个名字, 就是个请求参数的名称而已

http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdf6sdfs87f67

防重放

设计了防篡改之后, 接口总算是安全了那么一点点, 但是还不够...还需要对接口设计防重放设置

为什么要防重放

防重放也叫防复用,简单来说,就是我获取到这个请求的信息之后, 我什么也不改, 我就拿着接口的参数去 重复请求这个充值的接口,也就是说我的请求是合法的, 因为所有参数都是跟合法请求一模一样的,也就是说: 服务端的 sign 验证一定能通过, 但是此时, 我可以去重复请求这个充值的接口, 也就是我能够重复的充值(假设这个接口没有做其他逻辑处理,调用就能充值,我只是假设, 别抬杠), 调用一次加 10 块钱余额, 2次就是20...这就不合理了

防重放设计

客户端在请求中添加两个参数

1.1 添加一个随机不重复的字符串参数 比如uuid 至于怎么让他不重复,可以考虑拼接时间戳,md5随机数等

1.2 添加一个请求时间的参数 如 request_time 值就是发送请求时的 时间戳

服务端接收到请求之后:

2.1 去缓存里中查找 uuid 这个参数对应的值是否存在

2.2 如果不存在: 就把这个uuid的值保存到缓存中, 记录这个请求

2.3 如果已存在: 存在那就证明, 已经请求过一次了, 就不处理这个请求了

缓存可以是redis也可以是其他存储介质,应该给缓存设计过期时间,因为请求多了,就会有大量的 uuid 保存在缓存中

参考

http://localhos/api/assets/recharge?id=1001&amount=10&sign=asdfasdffs87f67&request_time=1561095355627&uuid=1561095355627aUjKs

php重放,Api 接口安全-防篡改,防重放理解总结相关推荐

  1. 电商系统中API接口防止参数篡改和重放攻击(小程序/APP)

    说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是AP ...

  2. post 防篡改_安全|API接口安全性设计(防篡改和重复调用)

    API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token.时间戳和Sign三个机制展开设计. 1. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Tok ...

  3. (转)API接口防止参数篡改和重放攻击

    API重放攻击(Replay Attacks)又称重播攻击.回放攻击.他的原理就是把之前窃听到的数据原封不动的重新发送给接收方.HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到 ...

  4. 服务器自带的防篡改,防篡改系统

    产品优势 一.技术先进 采用先进的文件驱动防篡改技术,稳定.可靠.高效.兼容性高. 新一代内核驱动及文件保护,确保防护功能不被恶意攻击或者非法终止 支持大规模连续篡改攻击保护. 二.保护全面 实时动态 ...

  5. 高并发之API接口,分布式,防刷限流,如何做?

    点击上方"朱小厮的博客",选择"设为星标" 后台回复"加群"加入公众号专属技术群 在开发分布式高并发系统时有三把利器用来保护系统:缓存.降级 ...

  6. api压测工具_高并发之API接口,分布式,防刷限流,如何做?

    在开发分布式高并发系统时有三把利器用来保护系统:缓存.降级.限流 缓存 缓存的目的是提升系统访问速度和增大系统处理容量 降级 降级是当服务出现问题或者影响到核心流程时,需要暂时屏蔽掉,待高峰或者问题解 ...

  7. php 文件防篡改,防篡改php文件校验程序

    /** * 校验线上源文件是否和本地的一致 * User: Administrator * Date: 2015/11/26 * Time: 9:30 */ include_once 'functio ...

  8. Android开发规范:API接口安全设计规范

    公众号[国民程序员]回馈粉丝福利: 现金红包和送书活动火热进行中,点击参与! 我的新书<Android App开发入门与实战>已于2020年8月由人民邮电出版社出版,欢迎购买. 书籍详情请 ...

  9. (七、api接口安全设计)莞工校招助手【微服务应用】

    参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 -- 自定义注解,防止表单重复提交 参考 安全|API接口安全性设计(防篡改和重复调用) 参考 API接口安全设计 参考 数据加密 ...

最新文章

  1. postgresql 遍历参数_PostgreSQL 对简单树的遍历
  2. python人工智能入门优达视频_机器学习:优达教你搭建Python 环境的正确姿势
  3. django 学习 (三) 模板变量
  4. next.js 无法导出及导出图片无法加载等问题
  5. java 数组转化为arraylist_在Java中怎样把数组转换为ArrayList?
  6. 【CodeForces - 707B】Bakery(思维水题)
  7. Python数据结构之字节,字节数组
  8. tomcat 加载js 中文乱码
  9. 设置div中的背景颜色及div中的字体颜色
  10. dolphinscheduler 3.0.1 资源中心
  11. html5教程 如何加背景图片
  12. M3U8 文件介绍 与 播放方法
  13. Visual C++游戏编程基础之多背景循环动画
  14. MATLAB激活了还需要激活
  15. CityMaker学习教程07 示例代码的使用CSharp
  16. linux-note:Linux Basics
  17. python 解决 Invalid HTTP_HOST header
  18. JavaScript正则表达式----RegExp类型, 代码说明简单易懂
  19. 根据汉字获得它的拼音
  20. 每日一题——小b和灯泡(数论)

热门文章

  1. Linux 调优篇:虚拟化调优(hugepage 大页内存)* 叁
  2. 大剑无锋之什么是值传递和引用传递?【面试推荐】
  3. leetcode 954. Array of Doubled Pairs | 954. 二倍数对数组(Java)
  4. 深度比较Paxos和Raft
  5. Hadoop推测执行(以空间换取时间)
  6. linux开机自动启动数据库,mysql随linux开机自动启动
  7. bp神经网络_BP神经网络的原理介绍
  8. RunTime.getRunTime().addShutdownHook的用法
  9. Linux网络编程 之 UDP编程(六)
  10. C++题解-Leecode 520. 检测大写字母——Leecode每日一题系列