API接口防止参数被篡改和重放攻击
1. 什么是API参数篡改?
说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。关注公众号码猿技术专栏获取更多面试资源
2. 什么是API重发攻击?
说明:API重放攻击: 就是把之前窃听到的数据原封不动的重新发送给接收方.
3,常用的解决的方案
常用的其他业务场景还有:
发送短信接口
支付接口
基于timestamp和nonce的方案
微信支付的接口就是这样做的
timestamp的作用
每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。HTTP请求从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。
一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名。
但这种方式的漏洞也是显而易见的,如果在60s之后进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效
nonce的作用
nonce的意思是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同。我们将每次请求的nonce参数存储到一个“集合”中,每次处理HTTP请求时,首先判断该请求的nonce参数是否在该“集合”中,如果存在则认为是非法请求。
nonce参数在首次请求时,已经被存储到了服务器上的“集合”中,再次发送请求会被识别并拒绝。
nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名。
这种方式也有很大的问题,那就是存储nonce参数的“集合”会越来越大。
nonce的一次性可以解决timestamp参数60s(防止重放攻击)的问题,timestamp可以解决nonce参数“集合”越来越大的问题。
防篡改、防重放攻击 拦截器(用到了redis)
public class SignAuthInterceptor implements HandlerInterceptor { private RedisTemplate<String, String> redisTemplate; private String key; public SignAuthInterceptor(RedisTemplate<String, String> redisTemplate, String key) { this.redisTemplate = redisTemplate; this.key = key; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取时间戳 String timestamp = request.getHeader("timestamp"); // 获取随机字符串 String nonceStr = request.getHeader("nonceStr"); // 获取签名 String signature = request.getHeader("signature"); // 判断时间是否大于xx秒(防止重放攻击) long NONCE_STR_TIMEOUT_SECONDS = 60L; if (StrUtil.isEmpty(timestamp) || DateUtil.between(DateUtil.date(Long.parseLong(timestamp) * 1000), DateUtil.date(), DateUnit.SECOND) > NONCE_STR_TIMEOUT_SECONDS) { throw new BusinessException("invalid timestamp"); } // 判断该用户的nonceStr参数是否已经在redis中(防止短时间内的重放攻击) Boolean haveNonceStr = redisTemplate.hasKey(nonceStr); if (StrUtil.isEmpty(nonceStr) || Objects.isNull(haveNonceStr) || haveNonceStr) { throw new BusinessException("invalid nonceStr"); } // 对请求头参数进行签名 if (StrUtil.isEmpty(signature) || !Objects.equals(signature, this.signature(timestamp, nonceStr, request))) { throw new BusinessException("invalid signature"); } // 将本次用户请求的nonceStr参数存到redis中设置xx秒后自动删除 redisTemplate.opsForValue().set(nonceStr, nonceStr, NONCE_STR_TIMEOUT_SECONDS, TimeUnit.SECONDS); return true; } private String signature(String timestamp, String nonceStr, HttpServletRequest request) throws UnsupportedEncodingException { Map<String, Object> params = new HashMap<>(16); Enumeration<String> enumeration = request.getParameterNames(); if (enumeration.hasMoreElements()) { String name = enumeration.nextElement(); String value = request.getParameter(name); params.put(name, URLEncoder.encode(value, CommonConstants.UTF_8)); } String qs = String.format("%s×tamp=%s&nonceStr=%s&key=%s", this.sortQueryParamString(params), timestamp, nonceStr, key); log.info("qs:{}", qs); String sign = SecureUtil.md5(qs).toLowerCase(); log.info("sign:{}", sign); return sign; } /** * 按照字母顺序进行升序排序 * * @param params 请求参数 。注意请求参数中不能包含key * @return 排序后结果 */ private String sortQueryParamString(Map<String, Object> params) { List<String> listKeys = Lists.newArrayList(params.keySet()); Collections.sort(listKeys); StrBuilder content = StrBuilder.create(); for (String param : listKeys) { content.append(param).append("=").append(params.get(param).toString()).append("&"); } if (content.length() > 0) { return content.subString(0, content.length() - 1); } return content.toString(); }
}
总结:做互联网应用,无论是生鲜小程序还是APP,安全永远都是第一位,安全做好了,其他的才能做得更好,当然,信息安全是一个永久的话题,并非通过本文就能够说得清楚的
API接口防止参数被篡改和重放攻击相关推荐
- 电商系统中API接口防止参数篡改和重放攻击(小程序/APP)
说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是AP ...
- (转)API接口防止参数篡改和重放攻击
API重放攻击(Replay Attacks)又称重播攻击.回放攻击.他的原理就是把之前窃听到的数据原封不动的重新发送给接收方.HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到 ...
- session 重放攻击_API接口如何防止参数被篡改和重放攻击?
说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是AP ...
- API接口通讯参数规范(2)
针对[API接口通讯参数规范]这篇文章留下的几个问题进行探讨. 问题1 试想一下,如果一个http请求返回一个500给我们,那我们是不是都不用看详情都知道该次请求发生了什么?这正是一个标准的结果码意义 ...
- 如何写出安全的API接口(参数加密+超时处理+私钥验证+Https)
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个. 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出. 对于安全 ...
- 如何写出安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)
转载:http://www.cnblogs.com/codeon/p/6123863.html 上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个. 通过园友们的讨论,以及我自己 ...
- 通过seller_nick:店铺昵称获取京东店铺所有商品接口,京东店铺所有商品API接口,API接口返回参数接入方案
一.京东店铺所有商品接口参数说明: 1.通过seller_nick:店铺昵称获取京东店铺所有商品接口,可以获取获得店铺的所有商品,宝贝ID, 商品详情页,商品标题,宝贝图片, 价格, 优惠价,销量,商 ...
- API接口通讯参数规范
问题引出 通常在很多的公司里面,对于接口的返回值没做太大规范,所以会比较常看到各个项目各自定义随意的返回值,比如以下情况: 1. 直接返回bool值(True或者False) 2. 返回void,只要 ...
- APP商品详情API调用展示,APP端商品详情API接口所有参数
以下是行业内了解到的一些情况,本帖只展示部分代码,需要更多API调试请移步获取API调用KEY以及秘钥 http://console.open.onebound.cn/console/?i=Rooki ...
最新文章
- 线程间定制化调用通信—— 1 高内聚低耦合的前提下,线程操作资源类 2 判断/干活/通知 3 多线程交互中,必须要防止多线程的虚假唤醒,也即(判断只用while,不能用if)
- C语言再学习 -- 再论内存管理
- 一篇文章教你如何使用python爬虫
- VTK:可视化算法之ProbeCombustor
- 化学专业尽早转行_尽早查看针对Java 11的功能
- Spark 0.9的安装配置
- couchbase php,升级PHP7时couchbase扩展导入的bug
- 服务器一般安装那种centos_CentOS系统云服务器宝塔面板安装以及微信小程序服务器搭建...
- 学渣的c#复习手记 类 一
- java中递归与回调函数_如何将递归回调函数转换为异步等待格式
- socket调试工具、socket调试软件、tcp调试工具、tcp调试软件(sokit)
- 泰勒公式的计算机应用,泰勒公式应用
- 计算机音乐制作专业的大学,音乐制作专业哪些大学
- J9数字论:关于区块链的那些专业术语
- sketchup渲染插件有哪些?哪个好用?
- RAID的基本工作模式
- java获得对象类名_获取Java中各种对象的类名
- 帝国自动生成html,帝国CMS7.2同步生成移动端HTML
- “离散元数值模拟仿真技术与应用”系列专题培训的通知
- Python快速刷题网站——牛客网 数据分析篇(十一)
热门文章
- 聊聊 Python 代码覆盖率工具 - 大咖爱爬虫
- spring-cloud(十一)GateWay强大的路由谓词(断言)功能
- 微信公共平台OAuth接口消息接口服务中间件-wechat-oauth
- libuv之mingw64环境搭建及编译Libuv
- 南京大学计算机考研复试线2021,南京大学2021年考研复试基本分数线已发布
- 由浅入深!大牛耗时一年最佳总结,让你的app体验更丝滑!3面直接拿到offer
- express項目部署阿里云服务器
- 深度模型(一):LSTM
- 程序员用代码求救, 同事“秒懂”
- MarkdownPad2 插入数学公式Mathjax