接口安全设计:使用token+sign+时间戳,防止中间人和dos攻击

最新推荐文章于 2024-09-03 15:37:16 发布
原创 最新推荐文章于 2024-09-03 15:37:16 发布 · 5.9k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #接口 #安全

在代码层面,对接口进行安全设计

一、使用token进行用户身份认证

用户身份认证的流程图如下:
在这里插入图片描述
具体说明如下:

1、 用户登录时,客户端请求接口,传入用户名和密文的密码
2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一个随机不重复的token,并将其存储在redis中,设置一个过期时间。
  其中,redis的key为token,value为验证通过后获得的用户信息
3、 用户身份校验通过后,后台服务将生成的token返回客户端。
  客户端请求后续其他接口时,需要带上这个token。后台服务会统一拦截接口请求,进行token有效性校验,并从中获取用户信息,供后续业务逻辑使用

二、使用sign防止传入参数被篡改

  为了防止中间人攻击(客户端发来的请求被第三方拦截篡改),引入参数的签名机制
  具体步骤如下:

1、客户端和服务端约定一个加密算法(或MD5摘要也可), 客户端发起请求时,将所有的非空参数按升序拼在一起,通过加密算法形成一个sign,将其放在请求头中传递给后端服务。
2、后端服务统一拦截接口请求,用接收到的非可空参数根据约定好的规则进行加密,和传入的sign值进行比较。若一致则予以放行,不一致则拒绝请求。

  由于中间人不知道加密方法,也就不能伪造一个有效的sign。从而防止了中间人对请求参数的篡改。

最低0.47元/天 解锁文章
Spring Boot 接口安全设计接口限流、防重放攻击与签名验证实战
wjianwei666的专栏
09-18 166
接口限流与安全防护摘要 在高并发场景下,接口限流可防止服务器过载,主要采用令牌桶、漏桶滑动窗口算法。防重放攻击通过时间戳+随机数机制,拦截重复请求。签名验证机制则通过加密参数密钥,确保请求合法性完整性。实现方案包括:1)限流器控制请求速率;2)拦截器校验时间戳随机数;3)签名校验拦截器验证参数签名。这些措施共同保障接口的稳定性与安全性,防止恶意请求参数篡改。
【干货满满】API安全加固指南:签名防篡改+Access Token管理最佳实践
最新发布
yuweide19761218的博客
07-20 695
API 安全加固需 “双管齐下”:签名防篡改确保 “请求没被改、来源可信”,Access Token 管理确保 “谁能访问、能访问什么”。核心原则是 “最小权限 + 动态安全”—— 权限仅满足业务需求,密钥与 Token 定期轮换,同时通过技术手段(HTTPS、加密存储)流程规范(密钥管理、应急吊销)构建纵深防御体系。
App开放接口api安全性—Token签名sign设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
PHP 接口安全设计要素:Token,签名,时间戳
qq_38308156的博客
02-25 1152
后端以api的方式将数据源呈现出来是目前的趋势,可以用在前后端分离的架构中,前后端分离之后,前后端人员能够更加专注于自己板块的东西;也可以用在后端与后端相互调用中。 拿到接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xmljson,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 1 时间戳:当前时间 2 随机数:随机生成的随机
创建时间戳的session值,以及设置token
02-20
创建时间戳的session值,以及设置token,网上找了好多的资源,都没有现成的,都是一点点拼凑起来的为什么一定要分数才行呢?免费共享不好吗?
Java电商平台 - API 接口设计token、timestamp、sign 具体架构与实现
TinagirlAPI的博客
12-06 1443
Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
java通过sign签名+时间戳的方式防止rest接口被恶意抓包调用重放
Ivan梦方舟的博客
07-26 1万+
做后端开发,避免不了要写接口,最开始我们写接口是为了满足实现具体的功能,能在客户端正常调用就行了,这种接口称为裸接口,就跟一个人没有穿衣服一样,我们在家的时候当然可以这么做,肆意放荡,这没关系,但是人总是要出门的,接触一些外人,这时候赤身裸体就不太好了吧。所有这时候我们要给自己穿上一件衣服。我们的接口也是一样的,一旦我们的接口上线暴露给外界了,必须要做一定的防护措施,给接口穿上“一件衣服”,避免一...
根据时间戳及密钥判断当前token值是否有效
weixin_30663471的博客
09-07 1008
需要的方法: /// <summary> /// 将c# DateTime时间格式转换为Unix时间戳格式 /// </summary> /// <param name="time">时间</param> /// <returns>double</returns> ...
api接口安全设计使用token+sign+时间戳
qq_39666711的博客
08-11 1661
服务端以api的方式将数据响应给客户端是目前的趋势,可以用在前后端分离的架构中,前后端分离之后,前后端人员能够更加专注于自己板块的东西,也可以用在服务端与服务端相互调用中。拿到接口后,客户端就可以通过api获取接口提供的数据,而返回的数据一般分为两种情况,xmljson,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口来获取数据,因此我们的api接口就要使用安全验证。具体的操作为:客户端在生成sign值时,除了使用所有的参数token外,再加一个发起请求时的时间戳
API接口设计token、timestamp、sign
06-24
`token`、`timestamp``sign`这三者是常见的安全机制,用于确保数据的完整性防止中间人攻击。下面将详细阐述它们的作用实现方式。 `Token`,通常指访问令牌,是一种身份验证机制。在API交互中,客户端(如移动...
Redis+接口+token+Sign+时间戳 Demo
03-24
Redis+接口+token+Sign+时间戳 Demo
【添加时间戳防止重放攻击
HilaryHe
07-01 1万+
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.
tokensign理解
qwangcong的博客
06-01 4202
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
接口关联-时间戳+token+加密(验证)封装
weixin_43737450的博客
12-22 1234
接口关联采用:时间戳+token+加密(验证) import base64 from time import time # 需要安装rsa模块, pip install rsa import rsa class HandleSign: server_pub = """ -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDQENQujkLfZfc5Tu9Z1LprzedE O3F7gs+7bz
API接口安全设计验证:ticket,签名,时间戳
VIP129370的博客
04-14 1392
与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳token,签名三个部分来保证API接口安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。
token sign 的理解
shenjing_Shining的博客
10-15 3274
token:令牌,用于验证用户身份登录状态的标识。 实现方式:用户在登录时,将用户名密码返回给服务器,登录成功的情况下,服务器会根据用户信息或其他方式生成一个token ,将 token 用户 id 以及时间戳存入 token 表,并将这个 token 返回给客户端。 之后用户就可以携这个 token 进行业务访问,接口在请求时,生成一个时间戳,服务器在收到请求后,先对比该时间戳token 表中存的该 token时间戳,验证 token 是否过期,如果过期,直接让用户重新登录,并删除该过
时间戳接口调用)
weixin_41563376的博客
01-29 1290
时间戳
使用Spring Boot拦截器实现时间戳校验以防止接口被恶意刷
程序员二胖
09-03 1784
通过Spring Boot的拦截器,我们可以非常方便地在所有请求之前进行时间戳校验。这种通用的解决方案不仅提高了系统的安全性,而且易于维护扩展。您可以根据实际需求对校验算法进行调整优化,确保接口安全性。希望本文能对你在防止接口被恶意刷请求方面提供一些有用的思路参考!
企业API接口设计token、timestamp、sign具体实现
emprere的博客
04-12 756
往期热门文章:1,《往期精选优秀博文都在这里了!》2、Elasticsearch 在互联网公司大量真实的应用案例3、一份来自亚马逊技术专家的Google面试指南,GitHub收获9.8...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值