前后端API接口安全问题,防止抓包恶意请求
哈喽,你们好,这是我第一次发帖子,最近遇到了一些关于后端api接口的安全问题,相信很多刚开始接触前后端的人都会遇到这样的问题,如果后端写了一个数据库操作的接口供前端使用,而这些接口无论是GET请求还是POST请求都会被抓包,然后恶意的去访问你的api接口。对你的数据进行操作,而我最近就遇到了同样的问题,我思索了很久,在无意之间想出了用时间戳做验证的这种办法。
首先,我是这样想的,时间戳他是一个可以进行一个前后端都可以去进行公共去访问的,而我们在前端可以先拿到当前的事件戳,这边我用小程序的javascript做实例
var dates = new Date();var time=''+dates.getTime()var time2= time.substring(0,10)var time3=time2/259.999//这里是你自己写的算法,后端需要对应的进行解密
首先我们先拿到当前的时间戳,因为后端我用的是PHP 的time()函数,而这个函数只能获取时间戳的前十位数字,所以我在js里面做了对应的截取,截取了前十位的数字,然后利用自己的算法去进行加密,当然了,我这里只是做例子,只是除了一个数字,如果想让你的加密难破解,就需要利用很多算法去进行加密。好了,我们去拿我们加密好的时间戳的前十位数字去请求一下后端
wx.request({url: '这里填写你的后端接口',data:{token:time3},success:(res)=>{console.log(res.data);}})},为了方便,我使用了GET请求,但是最好用POST 这里的安全问题我也不多说了。之后我们来看一下后端怎么去处理一下前端发送给后端的时间戳加密数字,后端这边我用的PHP
public function token(){$tk = $_GET['tk'];if(time()-$tk*259.999==1||time()-$tk*259.999==0){echo '程序执行的';
}else{echo '小子拿到接口了?拿到接口有啥用能访问吗??';
}其实也不难理解,后端拿到前端给他的token之后,之后拿时间戳-前端给的token,如果结果是0和1就代表是你前端小程序去请求的,当然,经过我反复测试,3g网 4g网 5g网,无论网速多快多慢,他们相差的也只是0 和1秒,所以我们可以在if代码块里面写我们的数据库操作了。这样就算别人知道你url参数是个时间戳,但是他不知道你的算法,也同样无法去请求你的接口。
前后端API接口安全问题,防止抓包恶意请求相关推荐
- 前后端解析_好程序员Web前端教程分享前后端分离接口
随着互联网的高速发展以及IT开发技术的升级,前后端分离已成为互联网项目开发的业界标准使用方式.在实际工作中,前后端的接口联调对接工作量占Web前端人员日常工作的30%-50%,甚至会更高.接下来的好程 ...
- 好程序员Web前端教程分享前后端分离接口
随着互联网的高速发展以及IT开发技术的升级,前后端分离已成为互联网项目开发的业界标准使用方式.在实际工作中,前后端的接口联调对接工作量占Web前端人员日常工作的30%-50%,甚至会更高.接下来就给大 ...
- nginx学习笔记002---Nginx代理配置_案例1_实现了对前端代码的方向代理_并且配置了后端api接口的访问地址
做个记录,以后做简单的nginx的时候拿过来就用 这个配置实现了,对前端html的方向代理,并且,配置了对后端api接口的方向代理 E:\nginx-1.14.0\conf\nginx.conf #u ...
- 抓包出现请求no response found 或者只有reply的情况
抓包出现请求no response found(未回复)或者只有reply(单方面应答)的情况 配置路由后,pc1 ping pc5成功.但是进行抓包,发现8.0和7.0网段都显示的no respon ...
- Charles 抓包工具教程(二) Charles 抓包HTTPS请求
本文为在霍格沃兹测试开发学社中学习到的一些技术,写出来分享给大家,希望有志同道合的小伙伴可以一起交流技术,一起进步~ Charles 抓包HTTPS请求 一.MacOS 安装 Chares 证书 二. ...
- 计算机前后端接口,看看别人后端API接口写得,那叫一个优雅!
在分布式.微服务盛行的今天,绝大部分项目都采用的微服务框架,前后端分离方式.题外话:前后端的工作职责越来越明确,现在的前端都称之为大前端,技术栈以及生态圈都已经非常成熟:以前后端人员瞧不起前端人员,那 ...
- 前后端API交互如何保证数据安全性?
本文转载自公众号: 猿天地 1.前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合.无论是开发原生的APP还是webapp还是PC端的软件,只要是 ...
- 【编程规范】 后端API接口设计编写与文档编写参考
文章目录 0 统一规范 0.1 理清业务流程 0.2 定义前后端开发的接口规范 0.3 定义接口文档 1 后端接口编写 1.0 后端接口介绍 1.0.1 接口交互 1.0.2 返回格式 1.0.3 C ...
- 个人记录——前后端api对接的一种方式
两人或多人协作开发前后端分离项目,需要有一个api文档.例如后端人员编写api文档,前端人员如何才能查看到实时的文档,以此方便地在前端页面写入正确的交互接口(例如 ajax里type为get,url为 ...
最新文章
- 可见面判别算法---可见面判别算法的分类
- c++ 异步回调_知道Java中的回调机制吗?
- 安装Rabbitmq脚本
- oracle取出对应时间间隔内的数据 between-and
- 企业信息管理计算机考什么,考信息系统运行管理员要学什么?
- redshift教程_分析和可视化Amazon Redshift数据—教程
- 工作总结4:拦截器的使用
- (十四)深入浅出TCPIP之初识UDP理解报文格式和交互流程
- MySQL 数据库图形化管理界面应用种草之 Navicat Premium 如何使用
- jar命令指定入口类
- go应用---Time.second
- Struts2体系介绍
- nodejs怎么使用爬虫HTTP代理IP抓取数据
- API平台都有的Appid、Appkey、Appsecret分别是什么意思?
- HBuilder 云打包生成 .apk 文件所需的安卓证书如何获取以及文件打包前必须的设置...
- Hadoop3.2.0 HDFS HA ( Quorum Journal Manager )
- 大数据基础知识思维导图
- haribote bootpack.c 主任务程序代码阅读注释
- 让eclipse有像vs2005一样的智能感知能力
- 局域网、网段、子网的区别