关于接口安全 接口防刷 RSA 鉴权 签名 实现

最新推荐文章于 2025-09-04 09:10:58 发布
原创 最新推荐文章于 2025-09-04 09:10:58 发布 · 4.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#RSA #接口防刷 #鉴权 #签名 #接口安全

该博客详细介绍了如何使用RSA算法进行接口安全防护,包括客户端的公钥加密和解密,接口的私钥加密和解密操作。同时,提供了接口防刷的实现思路和签名机制,以增强接口的安全性。作者分享了相关文章链接,深入探讨了RSA的使用和接口安全的实践方法。

直接贴代码了。客户端使用的YII框架,接口使用的TP5

 

客户端的公共Common   , 一个调接口的方法  

<?php
namespace frontend\controllers;

use Yii;
use yii\web\Controller;
use yii\web\Rsa;
use yii\web\Response;
use yii\filters\VerbFilter;
use yii\filters\AccessControl;
use yii\helpers\Json;
/**
 * Site controller
 */
class CommonController extends Controller
{
   

    /*
     * $url  |  接口路径
     * $param   |   数据
     * $is_post  |   是否post提交
     * $encrypt   |  是否非对称加密  默认1 加密
     * $timeout   |   请求时长
     *
     */
    function CurlPost($url, $param = [],  $is_post = 1, $encrypt = 1 ,$timeout = 5 )
    {
        if(!empty($param)){
            //加入鉴权
            $param['app_secret'] = yii::$app->params['authentication']['app_secret'];

            //生成签名
            asort($param); //按照键值对关联数组进行升序排序
            $secret['sign'] = md5(json_encode($param));

            if($encrypt == 1){
                //公钥加密
                $secret['key'] = Rsa::encrypt(json_encode($param));
            }
        }else{
            $secret['sign']='';
        }

        //初始化curl
        $curl = curl_init();

        // 设置请求的路径  curlopt_url:
        curl_setopt($curl, CURLOPT_URL, $url);

        if( $is_post == 1 ){
            //设置POST提交
            curl_setopt($curl, CURLOPT_POST, 0 );
        }

        //显示输出结果  1代表 把接口返回的结果当作一个字符串处理
        curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);

        // 设置请求超时时间
        curl_setopt($curl, CURLOPT_TIMEOUT, $timeout);

        curl_setopt( $curl ,CURLOPT_SSL_VERIFYHOST , false );
        curl_setopt( $curl ,CURLOPT_SSL_VERIFYPEER , false );

        if( $is_post == 1 ){
            curl_setopt($curl, CURLOPT_POSTFIELDS, http_build_query($secret));
        }
最低0.47元/天 解锁文章
非对称加密RSA公钥加密私钥解密实现系统间方案设计
许友运
02-07 1807
一、开场白 如果系统间涉及2端调用 [调用方、被调用方] 是分离的 ,无论是后端对后端 还是前端对后端 或者终端对后端 正常情况都需要结合实际业务场景设计方案,数据会有加解的过程。这样设计的好处是: 1、有助于止外部请求非法获得系统数据 2、有助于止数据内容传输过程中被窃取、篡改,伪造 3、有助于止外部通过非法手段对系统发起攻击 本文的例子主要是针对云云对接中 “后端对后端” 的Token方案,技术实现主要基于RSA公私钥加解密方案实现系统间调用。 关键词:业务发生场景、R..
高并发场景下接口安全实现方案:全方位构建护体系
weixin_43718423的博客
06-13 1386
在高并发场景(如月底销售高峰期)中,接口安全面临更严峻的挑战,包括恶意攻击、数据泄露、请求伪造等风险。以下是一套完整的接口安全实现方案:原理:使用 JSON Web Token 存储用户信息,避免 Session 共享问题,适合分布式架构。 实现示例: 1.2 OAuth 2.0/OpenID Connect 应用场景:核心算法选择: 2.2 验证码与设备指纹 验证码策略:在登录、下单等高风险操作前强制校验,止机器人批量攻击。 设备指纹技术:通过浏览器特征(User-Agent、Canvas 指纹、字体
接口之验证签名
多木童鞋的成长
05-05 6164
接口需要做限制在web开发的过程中,当对外提供的接口能够被随意调用时,可能造成非法用户能够对我们的服务器进行恶意攻击,导致服务器不能有效处理正常的业务请求,因此需要考虑对这些暴露出去的http接口限制。接口的基本方法今天主要讲一下我们的项目中用到的一种机制——给对外接口加验证身份的签名(即验签)。具体到业务中,当调用者B请求调用服务者A的接口时,服务者A需要验证调用者B的身份,并...
X-Ca-Key和X-Ca-Secret的方式签名认证
最新发布
刘皇叔说Java的博客
09-04 390
X-Ca-Key= 公钥,用来标识调用方= 私钥,用来生成签名,不可泄露流程= 客户端签名 → 服务端验证签名好处:避免伪造请求、止参数被篡改,常用于 API 开放平台、网关接口保护。
爆炸性!接口方式及实战案例,这篇文章让你的接口安全像坦克护!
测试逍遥子的博客
04-02 2606
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口的概念和实现方式,并通过Python代码进行了演示。接口是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
一篇文章带你了解接口与常见签名加密算法
m0_57506941的博客
10-02 1233
什么是接口? 要想了解接口,首先我们应该要对接口有一个概念。接口,可以分为程序内部的接口:方法与方法、模块与模块之间,通过调用程序内部抛出的接口进行交互;系统对外的接口:通过调用别人提供的接口来获取别人网站或者服务器上的资源或信息。 接口 在用户访问接口时获取用户IP,访问一次则访问次数对应加1,并为该访问次数设置有效时间在每次访问时判断访问次数值是否超过设置的最大访问次数,如果是则拒绝该用户访问 根据接口的承受能力设置限流,当每秒请求量达到指定阈值时拒绝多余请求 给对外接口加验证身份的签
RSA处理问题
Satan的博客
07-22 862
RSA是什么 RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。 为什么选择RSA 主要是RSA是非对称性加密方法,如果客户端的密码和服务端的密码是一样的,那客户端可以拿服务端的秘钥来伪造发送消息 总结:公钥加密、私钥解密、私钥签名、公钥验签
接口安全 -- 接口代码实现
weixin_47057820的博客
08-22 702
接口安全 api接口分类: 1>公共接口:你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口 2>私密接口:需要登录访问或者公司内部接口 接口安全要求: 1.伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口):接口 2.篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改):接口篡改(签名机制) 3.重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放):接口时效性 4.数据信息泄漏
接口测试中的与加密:实战指南
KakaCeshi的博客
09-20 2194
接口测试中, 和 数据加密 是确保系统安全的重要措施。通过 OAuth、JWT 和 Cookies 进行,可以有效止未经授的访问。同时,使用 HTTPS 加密或自定义加密算法保证数据在传输过程中的安全性。
API接口开发 dome源码 加密 验证
11-29
总的来说,API接口开发不仅涉及功能实现,更关乎数据安全。参数加密、超时处理、私钥验证和HTTPS的使用,都是构建安全API不可或缺的环节。通过深入理解这些知识点并应用到实际项目中,开发者可以提升其API服务的安全...
Postman完成RSA加密并使用加密所得
瓜瓜的测试日志
06-14 3360
接口方式除了token以外,还会遇到使用RSA加密和签名来处理的请求参数。在
.net钉钉接口
02-05
阿里钉钉.net sdk,jsapi接口和top接口 项目结构 business为业务逻辑层主要是接口调用,如果需要别的接口可以自行添加 config中是配置corpid和corpsecret mode中是创建request实体和response实体 jaspi.aspx是调用接口页面
php止恶意新与票的方法
12-19
本文实例讲述了php止恶意新与票的方法。分享给大家供大家参考。具体实现方法如下: 一般来说,恶意新就是不停的去新提交页面,导致出现大量无效数据,下面我们来总结一下php 止恶意新页面方法总结。 止恶意页面的原理是: 要求在页面间传递一个验证字符串, 在生成页面的时候 随机产生一个字符串, 做为一个必须参数在所有连接中传递。同时将这个字符串保存在session中。 点连接或者表单进入页面后,判断session中的验证码是不是与用户提交的相同,如果相同,则处理,不相同则认为是重复新。 在处理完成后将重新生成一个验证码,用于新页面的生成 PHP实现代码如下: 复制代码 代码
如何接口
王景程的博客
04-19 2519
接口(即止恶意频繁访问接口)是构建稳定、安全的后端服务的关键环节。接口会带来以下问题:服务压力大 → 崩溃或变慢;资源被滥用 → 例如验证码短信费用增加;用户体验差 → 正常用户无法访问服务;安全隐患 → 存在撞库攻击、恶意爬虫等风险。
JWT+RSA
weixin_50195609的博客
03-20 754
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录和流程:JWT+HS256算法 3、RSA非对称加密 4、登录和流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授和身份认证规范,可实现无状态、分布式的Web应用授;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
RSA算法
liujie379908的博客
10-14 907
RSA算法代码 代码 package com; import org.apache.commons.codec.binary.Base64; import java.io.IOException; import java.security.GeneralSecurityException; import java.security.KeyFactory; import java.secur...
PHP 接口
weixin_42246465的博客
07-04 2110
PHP 接口 /-------在首页请求设置token,再请求接口中请求一次后设置为空,多次请求不能成功,除非重新加载首页----------------/ public function index(){ session('token',$user['token']); return view('index'); } public function fenXiang(Request $request){ $parm = $request->param
thinkphp5,限制接口访问次数,接口
feiduan的博客
10-16 932
限制接口访问次数
leyou商城day12 JWT+RSA用户
gugugubird的博客
08-18 924
JWT+RSA用户
三方接口调用安全设计方案与Spring Boot实现
包括Controller层接口定义、Service层逻辑处理、Config类配置签名算法、Filter或Interceptor实现拦截器、以及单元测试用例等,极大提升了学习与复用价值。 综上所述,该三方接口调用方案是一个集成了安全认证、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值