接口签名及防重放详细开发文档(接口安全)

最新推荐文章于 2025-05-04 16:18:18 发布
原创 最新推荐文章于 2025-05-04 16:18:18 发布 · 1.3w 阅读 · 9 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。 Email: adleytales@126.com

本文档详细介绍了接口签名的实现方式,包括公共参数说明、签名规则、签名明文生成流程、签名密文生成方法及服务器端校验机制。同时,针对防重放攻击,提供了nonce值和timestamp的使用策略。

接口签名及防重放详细开发文档

公共参数

参数名称是否必填参数描述
nonce唯一值,用来标识接口请求的唯一性,例如使用UUID值,示例:40A6A065-4DB7-4999-8F7F-F6D051D9B02C
timestamp时间戳,从1970年1月1日据当前时间的毫秒数 示例:1529373808
vId版本号
logicVID逻辑版本号 (应该是没用的)
vest马甲信息 ticai
uuid设备唯一标识
agentId代销者编号
channel渠道号
interfaceVersion接口版本
ckStr登录token
deviceVersion系统版本
appVersion版本序列号
user-agent-key客户端标识
lskey登录token
uid资金账户编号
accountNo资金账户编号
iswx是否是微信登录(应该是没用的)
province省编号
appTypeapp类型 (应该是没用的)
sdkVersdk版本号
deviceVer设备型号
manufacturer厂商
brand型号
token信鸽token
cmsWhere渠道号
platform平台
screenRes屏幕尺寸信息

签名规则

签名内容由header和body两部分组成
+(接口请求中将Cookie参数全部去掉)+
header中的数据处理
将header中的所有key(对应公共参数中的所有key)按照字母顺序排序,然后将所有的key和value拼接成为 key1value1key2value2 的格式,示例代码如下:

header中的原始数据


{
    "accountNo": "112003abdc",
    "agentId": "112003abdc",
    "appType": "112003abdc",
    "appVersion": "112003abdc",
    "brand": "112003abdc",
    "browserBrand": "112003abdc",
    "channel": "112003abdc",
    "ckStr": "112003abdc",
    "cmsWhere": "112003abdc",
    "cms_where": "112003abdc",
    "deviceVer": "112003abdc",
    "deviceVersion": "112003abdc",
    "interfaceVersion": "112003abdc",
    "iswx": "112003abdc",
    "logicVID": "112003abdc",
    "lskey": "112003abdc",
    "manufacturer": "112003abdc",
    "nonce": "112003abdc",
    "platform": "112003abdc",
    "province": "112003abdc",
    "screenRes": "112003abdc",
    "sdkVer": "112003abdc",
    "timestamp": "112003abdc",
    "token": "112003abdc",
    "uid": "112003abdc",
    "user-agent-key": "112003abdc",
    "uuid": "112003abdc",
    "vId": "112003abdc",
    "vest": "112003abdc"
}

排序后得到的字符串

appTypezc_iosappVersion1610000brandiPhonechannelios_appstoreckStrcmsWhere800000deviceVerMacBookPro11,4lskeymanufacturerappleplatform2province11screenRes320.0-548.0sdkVer11.4token1user-agent-key4ed92dce-9c09-5554-8b3c-d4dfe43109a5uuid2F46685B-FD40-4A47-B621-E61A58B98650vId1610000vestticai

所有参数签名
参数分为了get参数和post参数,需要分别对get参数和post参数做处理

get参数处理
将所有的get参数如同上面header的处理,生成排序后的字符串,示例代码如下

get参数排序后的明文

cappConfigcmsWhere800000dappdataVer1610000_9177489552_1529596800deviceVerMacBookPro11,4mgetIndexConfigprovinceuseCookie1vId1610000vestticai

post参数处理
将所有的post参数如同上面的header处理,生成排序后的字符串,示例代码如下

post所有参数

{
    "api_version" = 2;
    appkey = 610163;
    "channel_id" = 10001;
    deviceid = "ABB50644-59BC-41AC-ABD4-DF3639891AF8";
    imei = "";
    imsi = "";
    nonce = "40A6A065-4DB7-4999-8F7F-F6D051D9B02C";
    "product_code" = 1006;
    timestamp = 1529373808;
    ua = "Apple Computer, Inc.^x86_64^iOS^11.4^(null)";
    "version_code" = 1;
}

post参数排序后的明文

api_version2appkey610163channel_id10001deviceidABB50644-59BC-41AC-ABD4-DF3639891AF8imeiimsimethodih.boss.info.getPayChannelsnonce40A6

将已有被签名字符串进行拼接
签名明文 = header明文 + get明文 + post明文 + decode + 秘钥(这个顺序一定要注意)
示例代码如下

签名明文

秘钥:89bd32f2443f323f0cce581d9491e5c9e8
签名明文: appTypezc_iosappVersion1610000brandiPhonechannelios_appstoreckStrcmsWhere800000deviceVerMacBookPro11,4lskeymanufacturerappleplatform2province11screenRes320.0-548.0sdkVer11.4token1user-agent-key4ed92dce-9c09-5554-8b3c-d4dfe43109a5uuid2F46685B-FD40-4A47-B621-E61A58B98650vId1610000vestticaicappConfigcmsWhere800000dappdataVer1610000_9177489552_1529596800deviceVerMacBookPro11,4mgetIndexConfigprovinceuseCookie1vId1610000vestticaiapi_version2appkey610163channel_id10001deviceidABB50644-59BC-41AC-ABD4-DF3639891AF8imeiimsimethodih.boss.info.getPayChannelsnonce40A6124bd34f203f23f0cce581d9491e5c9e8

对签名明文做MD5并将MD5值转换为小写得到签名后的密文

签名密文
sign="21f1ceda0af19dc724b631e12ccee88d";

将签名值加入到header中

{
  sign="21f1ceda0af19dc724b631e12ccee88d"
}

服务器校验
服务器接收到客户端请求后,做如上同样的操作,生成签名,并且与客户端的签名进行比对,比对失败则直接返回错误

异常提示

请求无效

防重放

nonce值

客户端生成唯一字符串作为nonce值(可以使用UUID,保证唯一就好),示例代码如下

nonce="40A6A065-4DB7-4999-8F7F-F6D051D9B02C"

将nonce作为参数加入到header中

{
   nonce:"40A6A065-4DB7-4999-8F7F-F6D051D9B02C"
}

服务器端接收到数据
服务器端接收到数据后,要对nonce进行校验,校验该nonce值是否存在,如果存在则直接拒绝此次请求,如果不存在将该nonce值存到缓存中

timestamp(时间戳)

生成时间戳
客户端生成当前时间戳

生成规则:
取当前时间去1970年1月1日0点的时间差,单位是毫秒
timestamp=1529373808

将生成的时间戳加入到header中

{
   timestamp:1529373808
}
  • 服务器端接收到数据
    服务器端接收到数据后,拿获取到的时间戳和服务器的时间进行差值,如果超过30秒则认为请求无效,服务器直接拒绝

异常提示

请求无效

Spring Boot 接口安全设计:接口限流、防重放攻击与签名验证实战
wjianwei666的专栏
09-18 139
接口限流与安全防护摘要 在高并发场景下,接口限流可防止服务器过载,主要采用令牌桶、漏桶和滑动窗口算法。防重放攻击通过时间戳+随机数机制,拦截重复请求。签名验证机制则通过加密参数和密钥,确保请求合法性和完整性。实现方案包括:1)限流器控制请求速率;2)拦截器校验时间戳和随机数;3)签名校验拦截器验证参数签名。这些措施共同保障接口的稳定性与安全性,防止恶意请求和参数篡改。
API接口安全策略文档
06-29
 1.目标 防伪装攻击:第三方恶意调用接口。 防篡改攻击:请求在传输过程被修改。 防重放攻击:请求被截获后,被多次重放。 防数据信息泄漏:被截获到系统数据,例如账号、密码、交易信息等。 
SpringBoot中接口签名防止接口重放
最新发布
jike11231的博客
05-04 1471
*** 获取请求体的字节数组* @return 请求体的字节数组*///参数字节数组,用于存储请求体的字节数据@Getter//Http请求对象/*** 构造函数,初始化包装类* @param request 原始HttpServletRequest对象* @throws IOException 如果读取请求体时发生IO错误*//*** 重写getInputStream方法,实现请求体的重复读取。
接口签名 - 一个实践过的方案(一)
songtaiwu的博客
08-08 1541
参与到签名的header的key的集合,使用英文逗号分割放到 key为 tw-signature-headers 的 Header中,客户端与服务端根据这个值进行选取并拼接签名串。将待签名字符串(StringToSign)使用 UTF-8 编码后得到Byte数组,然后使用加密算法对 Byte数组进行签名签名使用 APP Secret的值作为key,最后使用十六进制进行转码,形成最终签名。客户端需要将以下内容放入到http请求的header中,请求给到服务端网关,API网关会做签名比对。
7.接口安全接口文档和用例设计
徐天伦的博客
11-29 845
接口安全接口文档和用例设计。
JAVA实现防重放攻击和接口签名
weixin_45853776的博客
07-20 2459
概念 防重放攻击 重放攻击(Replay Attacks):攻击者 截取了从A发送给B的一个有效请求,然后重新发送给B,这样就获取了B应该返回给A的数据。或发起海量请求使服务器崩溃。 重放攻击的基本原理:把以前窃听到的数据原封不动地重新发送给接收方。很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们
PHP开发api接口安全验证的实例讲解
10-18
了解并掌握这些知识点,对于开发者而言,是保证开发出的API接口安全可靠的重要基础。同时,通过这种安全验证的实践,开发者可以更好地理解在现实世界中如何有效地防止API接口被滥用,提高应用的安全等级。
支付接口开发文档及参数说明
资源摘要信息:"支付接口说明文档1"是一份面向商户的技术开发文档,旨在指导开发者如何通过API方式接入第三方支付平台(9baopay)完成在线支付功能的集成。该文档详细阐述了支付请求的基本流程、关键参数定义、数据...
墨迹天气接口文档
12-19
根据提供的墨迹天气接口文档,我们可以详细解析其中包含的关键知识点...通过以上对墨迹天气接口文档详细解析,开发人员可以清晰地了解到如何构建请求以及如何解析返回的数据。这对于实现天气预报功能是非常有帮助的。
接口规范文档
小鲍侃java
01-29 7191
辽宁省国土空间规划“一张图”实施监督信息系统接口规范 一、技术路线: 1.1. spring cloud 1.1.1. 技术描述 微服务:就是把一个单体项目,拆分为多个微服务,每个微服务可以独立技术选型,独立开发,独立部署,独立运维.并且多个服务相互协调,相互配合,最终完成用户的价值. Spring cloud是一个基于Spring Boot实现的服务治理工具包,在微服务架构中用于管理和协调服务的。它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
.NET添加时间戳防止重放攻击
01-03
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.AppSettings[TimeStamp];//配置时间戳 [HttpPost] public ActionResult TestApi() { string Reque
接口安全测试
xiaobai178的博客
02-23 1082
“开源 Web 应用安全项目”(OWASP)在 2019 年发布了API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。 1. 失效的对象级别授权 失效的对象级别授权是指:用户与服务器使用API进行通信时,服务器端未进行对象级别的权限控制或限制不严格。攻击者可以通过修改请求数据中的对象ID 等信息,实现未授权获取或修改敏感信息。 eg
API 接口安全整理
云满笔记
12-05 702
HTTP 接口是互联网各系统之间对接的重要方式之一, 使用 HTTP 接口, 开发和调用都很方便, 也是被大量采用的方式, 它可以让不同系统之间实现数据的交换和共享, 但由于 HTTP 接口开放在互联网上, 那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;一种是以支付宝等支付公司为代表的私钥公钥签名验证机制;-一种是大量互联网企业都常采用的参数签名验证机制;
安全的API接口解决方案
dengyanxi2992的博客
01-05 131
在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的WEB API大量存在,安全性令人堪优 在以前WEB API概念没有很普及的时候,都采用自已定义的接口和结构,对于公开访问的接口,专业点的都会做下安全验证,数据签名之类 反而现在,谁都可以用WEB API估接口,安全性早忘一边了,特别是外包小公司的APP项目,80%都有安全漏洞(面试了大半年A...
轻松实现开放接口签名和验签
竹林幽深
12-01 2111
开放接口是指不需要登录凭证就允许被第三方系统调用的接口,这个时候肯定要考虑接口数据的安全性问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题,为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。私钥和公钥直接保存在文件中spring:redis:port: 6379signature:key-pair:# 调用方IDtest-1:# 算法# 私钥# 公钥# 生效时间(分钟)自定义验签注解,控制哪些接口需要验签//允许重复请求。
致我们曾经遇到过的接口问题
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
06-28 1466
我们日常的接口测试工作主要是验证接口的功能性(入参、出参、边界值等),沐沐在接口测试过程中遇到的一些接口安全性的问题,整理成了通用的测试点,不一定适用于全部的产品,仅做参考。验证登录接口中密码是否密文传输这个测试点听起来很荒唐,应该大家都知道密码应该加密,但是在很多时候,研发人员为了赶工就会忽略这个点,所以建议大家测试登录功能的时候,一定要F12查看一下登录接口中密码是否是密文。验证登录接口是否可以爆破登录对于一些安全性较高的系统,测试的时候有必要验证一下是否可以爆破登录,可以使用Burpsuit进行爆破登
基于“请求重放”设计的签名方案
weixin_45987961的博客
12-21 691
1:背景 最近在跟第三方做服务对接,第三方需要调用我们的服务接口查询数据,对于暴露出去的接口安全是很重要的,所以在做接口校验的时候一定要加上签名,这样可以有效的保护我们的接口安全 2:加密 不可能让数据在网络中裸奔,所以对于接口参数或者返回数据我们都需要进行加密处理,而对于请求方(甲方)的要求,我们必须使用国秘SM4进行加密 3:签名 除了请求参数之外,我们还需要发送过来的数据中包含签名,在我们收到请求后判断签名是否合法,如果不合法就不处理,但是会有问题,如果黑客截取了请求进行一次次重发就行了,
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值