【SpringBoot】之接口设计防篡改和防重放攻击

已于 2023-07-18 16:04:42 修改
阅读量6.1k 收藏 30
点赞数 4
分类专栏: Spring 文章标签: spring boot java
于 2022-09-12 01:06:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aiwangtingyun/article/details/126640870
版权

目录


一、API 接口防篡改方案

1、API 接口暴露问题

由于提供给第三方服务调用的 API 接口需要暴露在外网中,并且接口上提供了具体的请求地址和请求参数,那么,接口就有可能被人抓包拦截并对请求参数进行修改后再次发起请求,这样一来可能会被盗取信息,二来服务器可能会受到攻击。

为了防止这种情况发生,需要采取安全机制措施进行防范,方法有多种,比如:

  • 接口采用 https 的传输方式,https 传输的数据是经过了加密的,可以保证不被篡改(关于 https 的知识可以参考我的另一篇博客:【计算机网络】之 HTTPS 保证数据安全防止被篡改);
  • 项目后台采用安全的验证机制,比如采用参数加密请求时间限制来防止参数篡改和二次投放(我们以这种方式为案例进行讲解)。

2、防止接口参数篡改

为了防止参数被抓包篡改参数,我们可以对参数进行加密。具体方式如下:

  • 前端使用约定好的秘钥对传输参数进行加密,得到签名值 sign1,并且将签名值存入headers,然后发送请求给服务端;
  • 服务端接收客户端的请求后,在过滤器中使用约定好的秘钥对请求的参数再次进行签名,得到签名值 sign2
  • 最后对比 sign1 和 sign2 的值,如果相同,则认定为合法请求,如果不同,则说明参数被篡改,认定为非法请求。

3、防止接口重投放

重投放或者叫二次投放,指的是接口被人拦截篡改参数后重新发送请求。防止重投放的方案是:基于 timestamp 对参数进行签名,具体的实现是:

  • 每次 http 请求,headers 都加上 timestamp 时间戳,并且 timestamp 和请求的参数一起进行数字签名;
  • 服务器收到请求之后,先判断时间戳参数与当前时间是否超过了60s(这个可以自定义配置,一般黑客从抓包到重放的耗时远远超过了60s),如果超过了则提示签名过期;
  • 如果黑客修改了 timestamp 参数,则 sign 参数对应的数字签名就会失效,因为黑客不知道签名秘钥,没有办法生成新的数字签名(前端一定要保护好秘钥和加密算法)。

二、核心思路代码设计

代码思路主要是通过创建过滤器,对参数进行签名验证,核心过滤器代码如下:

@Component
@Slf4j
public class SignAuthFilter implements Filter {
   

    @Autowired
    private SignAuthProperties signAuthProperties;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
   
        log.info("初始化 SignAuthFilter...");
最低0.47元/天 解锁文章
5大技巧 vs 3大误区:SpringBoot接口如何完美防御篡改与重放攻击
java专栏
12-04 815
通过本文的详细介绍,相信你已经对SpringBoot接口如何设计防篡改防重放攻击有了深入的理解。5大技巧3大误区可以帮助你避免常见的安全问题,让你的接口更加安全可靠。😊😊😊如果你有任何问题或建议,欢迎在评论区留言交流哦!👋👋👋希望这篇文章能帮助你在SpringBoot开发中更加得心应手,让你的代码更加优雅高效。如果你觉得有用,不妨分享给更多的人吧!🎉🎉🎉。
SpringBoot接口安全加固:防篡改防重放攻击的实战策略
墨夶的博客
11-28 979
在当今的网络环境中,API接口的安全至关重要。SpringBoot作为轻量级的Java企业级应用框架,提供了多种机制来保护接口免受篡改重放攻击。本文将深入探讨如何在SpringBoot中设计接口防止数据篡改重放攻击,确保接口的安全性数据的完整性。
Spring Boot教程十七:防止接口恶意刷新暴力请求
热门推荐
王树钰的博客
10-13 1万+
在实际项目使用中,必须要考虑服务的安全性,当服务部署到互联网以后,就要考虑服务被恶意请求暴力攻击的情况,下面的教程,通过interceptredis针对url+ip在一定时间内访问的次数来将ip禁用,可以根据自己的需求进行相应的修改,来打打自己的目的; 首先工程为springboot框架搭建,不再详细叙述。直接上核心代码。 首先创建一个自定义的拦截器类,也是最核心的代码; /** *...
SpringBoot接口签名防止接口重放
最新发布
jike11231的博客
05-04 1204
*** 获取请求体的字节数组* @return 请求体的字节数组*///参数字节数组,用于存储请求体的字节数据@Getter//Http请求对象/*** 构造函数,初始化包装类* @param request 原始HttpServletRequest对象* @throws IOException 如果读取请求体时发生IO错误*//*** 重写getInputStream方法,实现请求体的重复读取。
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1406
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案noncetimestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
SpringBoot如何防止会话重放攻击
u013269298的博客
05-19 2061
(会话重放攻击)客户端对服务端的网络请求如果被攻击者拦截并且抓取,攻击者可以用抓取到的参数不断对接口发起重复请求,造成大量重复操作且可能产生重复数据。
SpringBoot实现接口签名防止篡改(V2)
明平姚的博客
07-09 1758
SpringBoot实现接口签名防止篡改
SpringBoot请求响应参数防篡改
闲余知道
07-06 2317
SpringBoot参数加签、验签,参数防篡改
Spring Boot接口如何设计防篡改防重放攻击
08-01 1320
Spring Boot接口如何设计防篡改防重放攻击 转载于:https://my.oschina.net/yunjie/blog/3081950...
3招 vs. 10步:SpringBoot接口防篡改防重放攻击全解析
java专栏
12-25 1120
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀嘿,小伙伴们!今天咱们来聊聊在开发Spring Boot应用时,如何巧妙地设计API接口防止参数被篡改抵御重放攻击。是不是听起来有点复杂呢?别担心,我会用最简单易懂的方式带你一步步了解这个看似高深的话题。准备好了吗?那我们就开始吧!
webapi接口请求数据防篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据防止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口防重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以防御重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
Spring MVC接口防数据篡改重复提交
08-25
主要为大家详细介绍了Spring MVC接口防数据篡改重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
接口防篡改方案
wanghong7936的博客
08-10 1327
加签、验签是用来解决防篡改问题的 ** 生成签名 ** 1、参数排序 将需要签名的内容根据参数名称进行排序,排序规则按照第一个字符的ASCII码值递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的ASCII码递增排序,以此类推。将参数内容进行排序,可以保证签名、验签双方参数内容的一致性。 ****为什么会产生不一致? 签名方以 Json 格式将参数内容发送给验签方,验签方需要将 Json...
SpringBoot Starter 通用接口加密组件(防篡改)+ RequestBodyAdviceResponseBodyAdvice原理
Java后端技术栈
01-18 644
防篡改:参考博客:(防篡改
接口防篡改
yw_2022的博客
05-01 708
接口防篡改
《优化接口设计的思路》系列:第六篇—接口防抖(防重复提交)的一些方式
summon的博客
12-05 2544
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究思考一些技术相关的问题并整理成文,限于本人水平,如果文章代码有表述不当之处,还请不吝赐教。作为一名从业已达六年的老码农,我的工作主要是开发后端Java业务系统,包括各种管理后台小程序等。在这些项目中,我设计过单/多租户体系系统,对接过许多开放平台,也搞过消息中心这类较为复杂的应用,但幸运的是,我至今还没有遇到过线上系统由于代码崩溃导致资损的情况。这其中的原因有三点:一是业务系统本身并不复杂;
JAVA毕业设计之明星周边电商平台的SpringBoot开发实现
集成支付功能需要处理支付流程中的各种安全问题,如防篡改防重放攻击等,并且需要处理支付结果的回调确认,确保订单状态正确更新。 7. 评论评分功能: 评论评分系统允许用户对购买的商品发表意见打分,这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值