http认证(三):nonce与timestamp

最新推荐文章于 2023-06-27 18:10:52 发布
转载 最新推荐文章于 2023-06-27 18:10:52 发布 · 2.2k 阅读 · 6

本文详细介绍了Nonce和Timestamp在身份验证过程中的作用,解释了如何通过这两个参数防止重放攻击,同时讨论了解决由随机数重复引起的问题的方法,并提出了一种结合时间戳的有效解决方案。

Nonce是由服务器生成的一个随机数,在客户端第一次请求页面时将其发回客户端;客户端拿到这个Nonce,将其与用户密码串联在一起并进行非可逆加密(MD5、SHA1等等),然后将这个加密后的字符串和用户名、Nonce、加密算法名称一起发回服务器;服务器使用接收到的用户名到数据库搜索密码,然后跟客户端使用同样的算法对其进行加密,接着将其与客户端提交上来的加密字符串进行比较,如果两个字符串一致就表示用户身份有效。这样就解决了用户密码明文被窃取的问题,攻击者就算知道了算法名和nonce也无法解密出密码。

每个nonce只能供一个用户使用一次,这样就可以防止攻击者使用重放攻击,因为该Http报文已经无效。可选的实现方式是把每一次请求的Nonce保存到数据库,客户端再一次提交请求时将请求头中得Nonce与数据库中得数据作比较,如果已存在该Nonce,则证明该请求有可能是恶意的。

然而这种解决方案也有个问题,很有可能在两次正常的资源请求中,产生的随机数是一样的,这样就造成正常的请求也被当成了攻击,随着数据库中保存的随机数不断增多,这个问题就会变得很明显。所以,还需要加上另外一个参数Timestamp(时间戳)。

 

Timestamp是根据服务器当前时间生成的一个字符串,与nonce放在一起,可以表示服务器在某个时间点生成的随机数。这样就算生成的随机数相同,但因为它们生成的时间点不一样,所以也算有效的随机数。

问题又来了,随着用户访问的增加,数据库中保存的nonce/timestamp/username数据量会变得非常大。对于这个问题,可选的解决方案是对数据设定一个“过期时间”,比如说在数据库中保存超过一天的数据将会被清除。如果是这样的,攻击者可以等待一天后,再将拦截到的HTTP报文提交到服务器,这时候因为nonce/timestamp/username数据已被服务器清除,请求将会被认为是有效的。要解决这个问题,就需要给时间戳设置一个超时时间,比如说将时间戳与服务器当前时间比较,如果相差一天则认为该时间戳是无效的。

 

参考链接:http://www.cnblogs.com/bestzrz/archive/2011/09/03/2164620.html

【高频考点精讲】前端接口防重放攻击:noncetimestamp的实现原理
全栈老李的博客
06-21 632
防重放就像给接口装上"一次性门锁",虽然会增加些许开发成本,但比起资金损失实在微不足道。下次当你看到noncetimestamp这对搭档时,不妨想想它们就像"数字世界里的保质期标签"——既普通又重要。(全栈老李原创文章,转载需授权)
接口签名中的位小伙伴signature,nonce,timestamp
08-03 6029
在请求一些开放平台的接口时,我们一般会在请求头中塞入一些签名相关的信息以证明身份。以微信API-V3的为例,请求头中包含的认证信息主要包含: signature(签名值) nonce(随机串) timestamp(时间戳) 本文将一步步介绍以上3个小玩意的含义和用途。 关键字:公钥、私钥、...
PHP基于timestampnonce实现的防止重放攻击方案分析
01-02
本文实例讲述了PHP基于timestampnonce实现的防止重放攻击方案。分享给大家供大家参考,具体如下: 以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客自己编写了一个类似的HTTP
基于timestampnonce的防重放攻击
Saladbobo的专栏
08-09 1581
基于timestampnonce的防重放攻击   以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发...
nonce时间戳
GJ_007的博客
11-11 2517
nonce是为了防止重放攻击产生的。nonce是服务器产生的随机数,当客户端第一次发出请求时,获取nonce,将其原文一起进行加密,进行发送。服务器使用同样的算法进行加密,客户端发送过来的密文进行对比,若用户名一样则证明消息的有效性。若发现该nonce在数据库中已经存在,则该请求可能为恶意请求。 但是由于nonce是随机产生的,所以可能会存在重复,针对此情况,出现了时间戳。 时间戳是服务器...
java cookie时间设置时间_简单Java后端的Cookie实现(时间戳)
weixin_39967996的博客
02-12 680
在前博客 运行第一个servlet后我们来简单实现一个cookie。一、简单介绍Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":当用户访问 web 页面时,他的名字可以记录在 cookie 中。在用户下一次访问该页面时,可以在 cookie...
noncetimestamp, signatrue在Http安全协议中的作用
xustart7720的博客
12-28 3815
OAuth协议,OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名) Basic认证及其安全问题 Basic认证是一个流程比较简单的协议,整个过程可以分为以下个步骤: 客户端使用GET方法向服务器请求资源。 服务器返回401响应码和WWW-Authentication:Basic realm=”Family”响应头要求客户端进行身份验证。其中re
帮我写一个python程序,调用接口,调用服务遵循以下格式:X-Timestamp:调用时间戳,值为当前时间的毫秒数,也就是从1970年1月1日起至今的时间转换为毫秒,时间戳有效时间为10分钟。 X-Nonce:调用方生成的随机数。 X-Signature:调用方生成的签名值,生成方式是X-Client-Id+X-Timestamp+X-Nonce组合字符,使用HmacSHA256算法计算并经Base64编码后的字符串,密钥为签名认证令牌密钥。
03-05
signature_str = client_id + timestamp + nonce signature = base64.b64encode(hmac.new(auth_token.encode(), signature_str.encode(), hashlib.sha256).digest()) # 设置请求头 headers = { "X-Timestamp": ...
一步步教你用Java生成优快云博客的x-ca-noncex-ca-signature.zip
04-29
在优快云(China Software Developer Network)的博客系统中,为了增强安全性,API请求通常需要包含特定的认证头,如`x-ca-nonce`和`x-ca-signature`。这两个参数是优快云 API调用过程中的关键部分,用于防止非法请求和...
NonceTimestamp 解决Replay-Attack问题
bravegogo的专栏
03-08 1160
Nonce是由服务器生成的一个随机数,在客户端第一次请求页面时将其发回客户端;客户端拿到这个Nonce,将其用户密码串联在一起并进行非可逆加密(MD5、SHA1等等),然后将这个加密后的字符串和用户名、Nonce、加密算法名称一起发回服务器;服务器使用接收到的用户名到数据库搜索密码,然后跟客户端使用同样的算法对其进行加密,接着将其客户端提交上来的加密字符串进行比较,如果两个字符串一致就表示用户
API密钥签名认证详解,包含timestamp+nonce方案BY:Zz Apollo
ch_improve的博客
11-02 2万+
本文举例来说明API签名,并有具体实现流程,规则弄会,一通百通。 本文先用一个故事举例,方便理解,然后对整个流程做了逐步分析和局部代码实现,最后把代码整合起来,想直接看整合后代码的可以直接去最底。 一、故事引入签名认证原理(不要纠结为什么吃饭这么麻烦- -!)         有家饭店,只对会员开放,小明在饭店注册会员...
java 时间戳验证_Java中带有时间戳的数字签名
weixin_39940788的博客
02-24 1330
我在使用受信任的时间戳BouncyCastle创建有效的CMS签名时遇到问题。签名创建工作良好(我想将签名包括到PDF文件中),签名有效。但是,当我在签名的未签名属性表中添加可信时间戳后,签名仍然保持有效,但是Reader会报告该签名包括嵌入式时间戳,但是无效 。这使我相信,哈希时间戳是不正确的,但是我似乎无法弄清楚问题出在哪里。签名代码:Store store = new JcaCertSto...
noncetimestampHttp安全协议中的作用
yinhong2006的专栏
06-19 340
noncetimestampHttp安全协议中的作用 前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定...
方调用时 Nonce TimeStamp Signature 这个参数有什么用?
asfasfasgjkl的博客
06-27 1679
方调用时 Nonce TimeStamp Signature 这个参数有什么用?
基于timestampnonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
基于timestamp+nonce的会话重放解决方案
weixin_42728957的博客
01-08 2374
基于timestamp+nonce的会话解决方案 timestamp解决黑客抓包重放请求超过60s的情况,超过60s的请求为非法请求。 nonce(Number used once)仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,所以该参数时间戳有关。我们把每次请求的nonce参数保存在一个集合中,可以json格式存储在数据库中或缓存中,我们每次处理http请求时,首先判断该请求的no...
简单说一下nonce+token+redis验证方式的大概流程
05-06 598
服务端将接收到的时间戮+nonce数+唯一值(会员ID等)作为key,nonce数作为value;2.客户端登录时,将客户端的唯一值作为key,生成的token作为value,保存至redis中。1.客户端提交时先判断时间戮,大于3分钟,返回错误(这里的3分钟上面的3分钟值相同)3.判断客户端提交的token+唯一值redis中保存的是否存在,不存在返回错误;以上为nonce+token+redis安全验证方式,其它验签流程不变。2.再判断nonce数据redis是否存在,存在返回错误;
企业API接口设计之token、timestamp、sign具体实现
渣渣想逆袭
03-09 1048
一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 Token的值一般是UUID,服务端生成Token后需要将t...
使用Java 通过appkey和密钥认证过程设计 nonce
最新发布
04-30
<think>好的,我现在需要帮助用户解决在Java中使用appkey和密钥进行认证,设计包含nonce认证过程的问题。首先,我得理解用户的需求。用户提到了appkey、密钥认证以及nonce的设计,这说明他们想要一个安全且防重放的API接口认证机制。 首先,我应该回顾一下相关的知识。API接口的认证通常需要几个关键要素:身份验证(确保请求方是合法的)、数据完整性(确保请求未被篡改)、防重放攻击(确保请求不被重复使用)。用户提到的nonce就是为了防止重放攻击,通常是一个一次性的随机数或时间戳。 接下来,我需要参考用户提供的引用内容。引用[1]中提到了使用AppKey和签名算法生成签名值,这样即使Token被劫持,没有AppKey和签名算法也无法伪造请求。引用[3]给出了Java中使用HMAC-SHA256生成签名的示例代码,这应该可以用来生成请求的签名部分。引用[4]提到了使用HTTP状态码来返回响应,这可能对设计返回结果有帮助。 现在,我需要将这些信息整合起来。设计一个包含nonce认证流程大概需要以下几个步骤: 1. **分配凭证**:客户端需要有一个AppKey和一个对应的AppSecret(密钥),这两个都由服务器分配,并且AppSecret不传输,只用于生成签名。 2. **请求参数组装**:客户端在请求时,需要包含AppKey、noncetimestamp等参数,然后将这些参数加上请求体中的数据按一定规则排序,生成待签名的字符串。 3. **生成签名**:使用HMAC-SHA256算法,用AppSecret对签名字符串进行加密,生成签名。 4. **发送请求**:将签名和必要的参数(如AppKey、noncetimestamp)一起发送到服务器。 5. **服务器验证**:服务器收到请求后,首先检查时间戳是否在有效期内,防止重放攻击。然后检查nonce是否已经使用过,确保请求的唯一性。接着用同样的方法生成签名,客户端传来的签名对比,验证合法性。 在这个过程中,需要注意几个关键点: - **Nonce的设计**:nonce可以是随机数或者UUID,确保每次请求的唯一性。服务器需要维护一个nonce的缓存,比如使用Redis,并设置过期时间,这样可以在一定时间内防止重复使用。 - **Timestamp的有效期**:比如设置5分钟,超过这个时间的请求视为无效,防止旧请求被重新发送。 - **参数排序**:客户端和服务器端必须使用相同的参数排序规则,否则生成的签名会不一致。 - **错误处理**:根据引用[4],应该使用合适的HTTP状态码,比如401表示认证失败,400参数错误,403签名错误等,方便客户端定位问题。 然后,我需要考虑具体的实现步骤,包括代码示例。比如,客户端如何组装参数,生成签名,发送请求;服务器端如何验证签名、检查nonce和时间戳的有效性。同时,要注意安全性,比如使用安全的哈希算法(如SHA256),密钥的安全存储等。 可能的问题点:用户可能不太清楚如何具体生成nonce,或者如何处理时间戳的有效期检查。另外,如何在高并发环境下高效地检查nonce是否已存在,可能需要使用高效的缓存机制,比如Redis的setnx命令,或者内存缓存配合过期策略。 此外,引用[2]提到了使用RSA非对称加密,但在这个场景中用户可能只需要对称加密(HMAC),但如果有更敏感的数据传输,可能需要结合RSA来加密某些字段,但用户的问题主要聚焦在认证过程,所以暂时可以不用涉及。 最后,需要确保示例代码的正确性,比如使用Java的Mac类实现HMAC-SHA256,正确处理参数的拼接,以及Base64编码等步骤。同时,服务器端的验证逻辑需要严格遵循相同的步骤,防止因参数处理不一致导致的验证失败。 总结下来,整个流程需要涵盖凭证分配、请求参数处理、签名生成、noncetimestamp的验证,以及错误处理。将这些步骤清晰地呈现给用户,并给出代码示例,应该能满足用户的需求。</think>### Java API接口认证设计(AppKey+密钥+Nonce) #### 一、认证流程设计 1. **凭证分配** - 客户端申请获得`AppKey`(公开传输)和`AppSecret`(密钥,仅用于签名) - 例如:`AppKey=JAVA2024`,`AppSecret=7x!z$pL2`(实际需用更复杂的密钥) 2. **请求参数组装** - 必须包含以下核心参数: ```java Map<String, String> params = new HashMap<>(); params.put("appKey", "JAVA2024"); params.put("nonce", UUID.randomUUID().toString()); // 一次性随机值 params.put("timestamp", String.valueOf(System.currentTimeMillis())); // 当前时间戳 ``` 3. **签名生成** - 步骤: 1. 参数按Key升序排列 `appKey=JAVA2024&nonce=3b9a1f...&timestamp=1717040000000` 2. 拼接请求体内容(JSON格式需序列化) 3. 使用`HMAC-SHA256`加密生成签名[^3] ```java // 示例代码(基于引用[3]修改) public static String generateSignature(String content, String appSecret) { try { Mac mac = Mac.getInstance("HmacSHA256"); SecretKeySpec key = new SecretKeySpec(appSecret.getBytes(StandardCharsets.UTF_8), "HmacSHA256"); mac.init(key); byte[] hash = mac.doFinal(content.getBytes(StandardCharsets.UTF_8)); return Base64.getEncoder().encodeToString(hash); } catch (Exception e) { throw new RuntimeException("签名生成失败", e); } } ``` 4. **请求发送格式** ```http POST /api/v1/order Headers: X-Signature: YTg2MjVkOWQ3ND...(Base64签名值) Body: { "appKey": "JAVA2024", "nonce": "3b9a1f...", "timestamp": 1717040000000, "data": {"orderId": "202405210001"} } ``` #### 二、服务端验证流程 ```mermaid graph TD A[接收请求] --> B{参数检查} B --> |缺失参数| C[返回400错误][^4] B --> |通过| D[时间戳校验] D --> |超时>5分钟| E[返回403过期错误] D --> |有效| F[Nonce唯一性校验] F --> |已存在| G[返回403重放攻击] F --> |新值| H[生成服务端签名] H --> I{签名比对} I --> |不一致| J[返回401认证失败] I --> |一致| K[执行业务逻辑] ``` #### 、关键实现代码 1. **服务端Nonce校验(Redis实现)** ```java // 使用Redis记录5分钟内使用过的nonce public boolean checkNonce(String nonce) { String key = "api:nonce:" + nonce; return redisTemplate.opsForValue().setIfAbsent(key, "1", 5, TimeUnit.MINUTES); } ``` 2. **时间戳有效期验证** ```java public boolean validateTimestamp(long clientTimestamp) { long current = System.currentTimeMillis(); return Math.abs(current - clientTimestamp) <= 300_000; // 5分钟误差 } ``` #### 四、安全增强建议 1. **数据传输加密** - 敏感数据(如订单号)使用RSA加密[^2] - 示例:`data.orderId=加密(RSA_PUBLIC_KEY, "202405210001")` 2. **防篡改机制** - 签名内容必须包含所有请求参数(包括URI路径) 3. **密钥管理** - 使用阿里云KMS等专业服务管理`AppSecret` - 定期轮换密钥(建议不超过90天)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值