如何写出安全的API接口?接口参数加密签名设计思路

最新推荐文章于 2024-05-15 16:09:05 发布
转载 最新推荐文章于 2024-05-15 16:09:05 发布 · 3.6k 阅读 · 3

原文地址:https://www.cnblogs.com/codeon/p/5900914.html


开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口。        

       几年以前我认为,我写个接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simple。但凡部署在广域网的应用程序,随随便便的好多工具可以根据ip或域名扫描应用程序的所有暴露的接口,进而分析参数,注入程序,分分钟被攻击。        

       那咋才能保证接口的安全性呢?

(一)面临的主要安全问题
a.网络环境假设:

a1.假设公共网络(Internet,如:WIFI、非家庭网络、非办公网络等) 是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被截获的、篡改、重放(重发)的。


b.接口安全要求:

b1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口)

b2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改)

b3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)

b4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等)

(二)可参考的商业标准

可参见: HTTP数据传输安全方案  HTTPS(HTTP安全商业标准)

http://baike.baidu.com/view/14121.htm

 

(三)可参考国内互联网厂商参考
新浪OpenAPI、腾讯、淘宝 等。

 

(四)设计原则

1.轻量级

2.适合于异构系统(跨操作系统、多语言简易实现)

3.易于开发

4.易于测试

5.易于部署

6.满足接口安全需求(满足b1 b2 b3要求),无过度设计。

 

其它:接口安全要求b4部分,主要针对目前用户中心的登录接口

设计原则是:使用HTTPS安全协议 或 传输内容使用非对称加密,目前我们采用的后者。 

 

(五)适用范围

1.所有写操作接口(增、删、改 操作)

2.非公开的读接口(如:涉密/敏感/隐私 等信息)

 

(六)接口参数签名 实现思路参考

必要的输入参数

参数名

类型

必选

描述

_appidstring调用方身份ID,接口提供方用此来识别调不同的调用者,该参数是API基本规范的一部分,请详见API公共规范。

_sign

string

是 

一次接口调用的签名值,服务器端 “防止 伪装请求/防篡改/ 防重发” 识别的重要依据。

_timestamp

Int

时间戳(long Timestamp = DateTime.Now.Ticks;

 

签名算法过程:

1.对除签名外的所有请求参数按key做的升序排列,value无需编码。
 (假设当前时间的时间戳是12345678)

例如:有c=3,b=2,a=1 三个参,另加上时间戳后, 按key排序后为:a=1,b=2,c=3,_timestamp=12345678。

2 把参数名和参数值连接成字符串,得到拼装字符:a1b2c3_timestamp12345678

3 用申请到的appkey 连接到接拼装字符串头部和尾部,然后进行32位MD5加密,最后将到得MD5加密摘要转化成大写。

示例:假设appkey=test,md5(testa1b2c3_timestamp12345678test),取得MD5摘要值 C5F3EB5D7DC2748AED89E90AF00081E6 。

 

再看一个更具体的Sample Code:

如何得取如下请求的签名值:
http://api.demo.com/dog/add?1=壹&A=aaa&Z=zzz&_appid=club&_timestamp=12345678&a=AAA&z=ZZZ

C#实现代码如下 ( 请新建一个C#代码文件 SampleCode.cs ):

test()方法展示了如何取得该请的签名参数值 ( _sign=8B0E081689789CF66490E65BB8E1B0E7 ),现实业务中依据自己的情况,把创建请求的过程封装成公共方法,使得请求url的创建过程对开发人员透明,简化处理。

 

[下方会提供 .Net的 Sample Code] 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

.Net

复制代码 
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
namespace test3
{
    public class SampleCode
    {
        public static string test()
        {
            int _timestamp = 12345678;
            var param = new SortedDictionary<string, string>(new AsciiComparer());
            param.Add("z", "ZZZ");
            param.Add("a", "AAA");
            param.Add("Z", "zzz");
            param.Add("A", "aaa");
            param.Add("2", "");
            param.Add("1", "");
            param.Add("_appid", "club");
            param.Add("_timestamp", _timestamp.ToString());
            string _sign = GetSign(param);
            string urlParam = string.Join("&", param.Select(i => i.Key + "=" + i.Value));
            string url = "http://api.demo.com/dog/add?" + urlParam + "&_sign=" + _sign;
            return url;
        }
        public static string GetSign(SortedDictionary<string, string> paramList, string appKey = "test")
        {
            paramList.Remove("_sign");
            StringBuilder sb = new StringBuilder(appKey);
            foreach (var p in paramList)
                sb.Append(p.Key).Append(p.Value);
            sb.Append(appKey);
            return GetMD5(sb.ToString());
        }
        public static string GetMD5(string str)
        {
            if (string.IsNullOrEmpty(str))
                return str;
            var sb = new StringBuilder(32);
            var md5 = System.Security.Cryptography.MD5.Create();
            var output = md5.ComputeHash(Encoding.UTF8.GetBytes(str));
            for (int i = 0; i < output.Length; i++)
                sb.Append(output[i].ToString("X").PadLeft(2, '0'));
            return sb.ToString();
        }
    }
    /// <summary>
    /// 基于ASCII码排序规则的String比较器
    /// Author:HeDaHong
    /// </summary>
    public class AsciiComparer : System.Collections.Generic.IComparer<string>
    {
        public int Compare(string a, string b)
        {
            if (a == b)
                return 0;
            else if (string.IsNullOrEmpty(a))
                return -1;
            else if (string.IsNullOrEmpty(b))
                return 1;
            if (a.Length <= b.Length)
            {
                for (int i = 0; i < a.Length; i++)
                {
                    if (a[i] < b[i])
                        return -1;
                    else if (a[i] > b[i])
                        return 1;
                    else
                        continue;
                }
                return a.Length == b.Length ? 0 : -1;
            }
            else
            {
                for (int i = 0; i < b.Length; i++)
                {
                    if (a[i] < b[i])
                        return -1;
                    else if (a[i] > b[i])
                        return 1;
                    else
                        continue;
                }
                return 1;
            }
        }
    }
}
复制代码

 

 总结:

  1. 接口调用方和接口提供方约定好统一的参数加密算法
  2. 接口调用方在调用时把加密后的_sign放在参数中去请求接口
  3. 接口提供方接到响应后,判断时间戳是不是在有效时间内(这个时间间隔根据你的安全范围可以是10分钟,5分钟,20秒等,过期失效,前提是需要保证接口提供方和调用方的服务器时间为准确的网络同步时间)
  4. 把参数中除了_sign以外的参数进行加密,然后把加密结果和传过来的_sign比较,相同则执行调用请求。

有同学说难以理解,我这两天写个demo,请参考下一篇文章:http://www.cnblogs.com/codeon/p/6123863.html



SpringBoot API接口签名(防篡改)
小钟不想敲代码
06-09 1092
本文介绍了基于Spring AOP的API签名校验机制,用于保障接口安全性。核心组件包括:1) 配置签名的@ApiSignature注解;2) 实现验证逻辑的ApiSignatureAspect切面;3) 处理防重放的Redis存储组件。该机制通过验证请求参数完整性、时效性(时间戳)和唯一性(nonce),并比对客户端与服务端签名来防止篡改和重放攻击。实现流程包括:请求拦截、参数验证、签名计算和Redis防重放处理,其中签名采用SHA256算法。整体设计采用注解配置方式,支持自定义超时时间和参数名称,具有较
API项目3:API签名认证
Gus10124的博客
10-11 1813
我们为开发者提供了接口,却对调用者一无所知假设我们的服务器只能允许 100 个人同时调用接口。如果有攻击者疯狂地请求这个接口,那是很危险的。一方面这可能会,另一方面,影响正常用户的使用。因此我们,例如限制每个用户每秒只能调用十次接口,即实施请求频次的限额控制。所以我们,并且不能让无权限的人随意调用。在我们之前开发后端时,我们会进行一些。例如,当管理员执行删除操作时,后端需要检查这个用户是否为管理员,直接从后端的 session 中获取的。
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名思路和验证签名思路,不喜勿碰
关于接口安全
奇葩也是花
08-22 723
<?php header('content-type:text/html;charset=utf-8'); class DES { /** * DES加密 (需要打开php.ini的extension=php_mcrypt.dll) * @param string $input * @param string $key * @return str
SpringBoot接口 - API接口有哪些不安全的因素?如何对接口进行签名
m0_71777195的博客
07-18 955
***/}
接口签名算法设计、MD5签名算法
11-29
微信接口签名方案是一个典型的例子,其设计思路如下: 1. **参数排序**:将所有请求参数按照字典序排序,包括API密钥(secret_key),但不包括签名本身。 2. **拼接字符串**:将排序后的参数值和对应的参数名连接...
API接口签名校验(C#版)
深耕物流行业,提供专业的企业级物流API服务,为企业降本增效
09-02 1657
快速实现API接口签名校验(C#版)
API接口加解密技术方案(参考HTTPS原理和微信支付)
ajiong的博客
04-17 2986
为了防止爬虫、防请求篡改、防请求重放,以及验证数据完整性,本方案结合HTTPS原理和微信支付加解密设计,通过对称加密、非对称加密签名等技术,为API接口提供加解密设计和落地
api接口安全
u013303689的博客
12-14 656
    api 接口安全 篇 // sign time token public function checkapi(){ $sign= $_GET['sign']; // 客户端加密 md5($token.$time) $token = $_GET['token']; // 客户端传递token $time = $_GET['time']; // 客户端传递当前请...
App开放接口api安全:Token签名sign的设计与实现
Java笔记虾
02-20 789
来源:cnblogs.com/whcghost/p/5657594.html前言在app开放接口api设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数...
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
NHB456789的博客
04-07 1591
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
API 接口签名
qq_43649799的博客
03-22 2658
API 接口签名
接口安全签名
aa233510的博客
06-01 3491
1.   接口请求采用https的post方式,返回信息全部采用json格式报文。 2.   请求和返回报文双方约定采用UTF-8编码,并对请求参数做URLEncoder。 3.   签名规则(签名在URLEncoder之前做。) 4.   商户密钥  207b6c6843a20c4acf7e8583b9d463c6 签名规则: 第1步:  将所有参数(注意是所有参数),除去sign本
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
API接口安全设计验证:ticket,签名,时间戳
VIP129370的博客
04-14 1388
与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。
API接口签名验证
qq_25046827的博客
03-01 5178
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API接口签名方式
小泽的博客
05-15 1299
API接口认证方式
如何验证接口测试中的加密参数
最新发布
04-19
<think>好的,我现在需要回答用户的问题:“如何在接口自动化测试中验证加密参数”。根据用户提供的引用内容,特别是引用[2],里面提到了基于加密接口的测试用例设计,以及封装处理的方法。我需要结合这些信息,给出一个结构清晰、步骤明确的回答。 首先,用户的问题集中在验证加密参数上。加密参数通常出现在请求参数或响应内容中,比如使用Base64、AES、RSA等加密方式。引用[2]中的例子使用了Base64编码,通过封装一个ApiRequest类来处理解密,然后进行断言。我需要将这些方法系统地整理出来,并可能补充其他常见的加密处理方式。 接下来,我应该考虑以下几个方面: 1. **加密参数的常见位置**:请求参数加密(如密码)、响应体加密(如敏感数据)。用户提供的引用[2]主要处理响应体的解密,但请求参数加密也是常见情况,可能需要补充。 2. **处理加密的通用方法**:比如使用Base64解码、AES解密、RSA解密等。需要结合代码示例,说明如何集成到测试框架中。 3. **数据驱动与参数化测试**:如何管理不同的加密场景,比如不同的加密算法、密钥等。引用[2]中的parametrize可能适用,但需要更具体。 4. **断言验证**:解密后的数据如何进行有效性检查,比如字段存在性、数据准确性、签名验证等。 5. **工具和库的支持**:如Python中的requests、cryptography、pycryptodome等库的使用。 同时,需要参考用户之前的回答,确保格式符合要求,比如使用行内公式$...$,代码块格式正确,问题部分生成相关问题。用户之前的回答中使用了代码示例和分点说明,我需要保持这种结构。 另外,用户提供的引用[2]中有一个ApiRequest类的封装示例,可以进一步扩展,说明如何处理多种加密方式,或者如何动态选择解密方法。例如,当接口使用不同的加密算法时,如何通过配置来决定解密方式,这样可以提高框架的灵活性。 可能还需要考虑异常情况,比如加密密钥错误、数据篡改等情况下的测试用例设计,确保系统能够正确处理这些异常,返回预期的错误码或日志。 最后,要确保回答中的引用正确标注,比如引用[2]中的代码示例,需要在适当的位置添加引用标识[^2]。同时,生成的相关问题需要与加密参数测试相关,比如处理不同加密算法、动态密钥管理、数据篡改测试等。</think>#### 接口自动化测试中验证加密参数的完整方法 --- ### 一、加密参数验证核心思路 1. **明确加密机制** - 请求参数加密:如密码采用$AES$加密传输 - 响应体加密:如敏感数据使用$Base64$编码 - 签名验证:通过$HMAC-SHA256$生成请求签名[^2] 2. **实现分层处理** $$加解密层 \rightarrow 接口调用层 \rightarrow 断言验证层$$ --- ### 二、具体实现步骤(Python示例) #### 1. 请求参数加密处理 ```python from Crypto.Cipher import AES import base64 def encrypt_data(key, data): cipher = AES.new(key.encode(), AES.MODE_EAX) ciphertext, tag = cipher.encrypt_and_digest(data.encode()) return base64.b64encode(cipher.nonce + tag + ciphertext).decode() ``` #### 2. 响应解密验证(扩展引用[2]的封装) ```python class SecurityValidator: @staticmethod def base64_decrypt(response): return json.loads(base64.b64decode(response.content)) @staticmethod def aes_decrypt(response, key): full_data = base64.b64decode(response.content) nonce, tag, ciphertext = full_data[:16], full_data[16:32], full_data[32:] cipher = AES.new(key.encode(), AES.MODE_EAX, nonce=nonce) return cipher.decrypt_and_verify(ciphertext, tag) ``` #### 3. 测试用例集成 ```python @pytest.mark.parametrize("secret_key", ["test_key_123", "prod_key_!@#"]) def test_encrypted_api(secret_key): # 构造加密请求 encrypted_payload = encrypt_data(secret_key, '{"user":"admin"}') # 发送请求 response = requests.post( url="https://api.example.com/secure", headers={"X-Encrypt-Type": "AES"}, data=encrypted_payload ) # 动态选择解密方式 if response.headers.get("Encrypt-Method") == "AES": decrypted_data = SecurityValidator.aes_decrypt(response, secret_key) else: decrypted_data = SecurityValidator.base64_decrypt(response) # 验证关键数据 assert decrypted_data["status"] == 200 assert "signature" in decrypted_data ``` --- ### 三、关键验证维度 1. **加密算法正确性** - 验证$Base64$编码长度是否为$4n$倍数 - 检查$AES$解密后数据完整性(MAC验证) 2. **时间敏感性验证** - 测试时间戳加密参数$t=timestamp \pm \Delta t$的有效期 3. **签名机制验证** $$signature = HMAC(key, data)$$ - 修改任意参数后验证签名失效 - 重放攻击检测(nonce重复使用) --- ### 四、企业级实践方案 1. **密钥动态管理** ```python # 从Vault获取动态密钥 def get_dynamic_key(env): vault_client = VaultClient() return vault_client.get_secret(f"/api/keys/{env}") ``` 2. **混合加密场景处理** | 加密类型 | 验证方法 | |---------|----------| | 非对称加密 | 用$RSA$公钥验证签名 | | 国密算法 | 调用$SM4$专用解密库 | | JWT令牌 | 解析$Header.Payload.Signature$结构 | --- ### 五、调试与异常处理 1. **中间人抓包验证** ```bash # 通过Charles Proxy查看解密后数据 charles --ssl-proxy --decode-content ``` 2. **加密错误定位** ```python try: decrypt_data(response) except ValueError as e: logging.error(f"解密失败: {str(e)}") assert False, "加密算法不匹配或密钥错误" ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值