SpringBoot中接口签名防止接口重放

原创 于 2025-05-04 16:18:18 发布 · 1.4k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #接口签名

SpringBoot中接口签名防止接口重放

一、接口签名的作用与实现要点

1. 为什么需要接口签名?

  • 目的:防止请求伪造。
  • 伪造风险:第三方可模拟合法请求,执行敏感操作(如转账)。
  • 签名作用:确保请求来源真实、数据未被篡改。

2. 如何实现接口签名?

  • 共享密钥:客户端与服务端约定一个保密的 secretKey。
  • 生成签名:使用 secretKey + 请求体 + 其他参数(如 nonce、timestamp)通过安全算法(如 HMAC-MD5)生成签名。
  • 传输签名:将签名放入请求头中发送。
  • 服务端验证:服务端按相同规则重新计算签名,比对一致性。

3. 防止请求伪造

  • 原理:攻击者无法获取 secretKey,无法生成有效签名,请求被拒绝。

4. 防止请求重放

  • 定义:攻击者截获并重复发送旧请求,冒充合法用户。
  • 解决方法
    • 使用唯一随机值 nonce,服务端记录已使用的 nonce(如 Redis),防止重复使用。
    • 引入 timestamp,限定请求在时间窗口内有效(如 5 分钟)。

二、方案实战

1. AccountController账户控制类

@RestController
@Slf4j
public class AccountController {
   
   
    @RequestMapping("/account/transfer")
    public ResponseResult<String> transfer(@RequestBody TransferAccount request) {
   
   
        log.info("转账成功:{}", JSONUtil.toJsonStr(request));
        return ResponseResult.success("转账成功");
    }
}

2. 自定义request包装类:可重用的主体请求包装器

public class ReusableBodyRequestWrapper extends HttpServletRequestWrapper {
   
   

    /**
     * -- GETTER --
     *  获取请求体的字节数组
     *
     * @return 请求体的字节数组
     */
    //参数字节数组,用于存储请求体的字节数据
    @Getter
    private byte[] requestBody;

    //Http请求对象
    private HttpServletRequest request;

    /**
     * 构造函数,初始化包装类
     *
     * @param request 原始HttpServletRequest对象
     * @throws IOException 如果读取请求体时发生IO错误
     */
    public ReusableBodyRequestWrapper(HttpServletRequest request) throws IOException {
   
   
        super(request);
        this.request = request;
    }

    /**
     * 重写getInputStream方法,实现请求体的重复读取
     *
     * @return 包含请求体数据的ServletInputStream对象
     * @throws IOException 如果读取请求体时发生IO错误
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
   
   
        /**
         * 每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中
         * 解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题
         */
        // 仅当requestBody未初始化时,从请求中读取并存储到requestBody
        if (null == this.requestBody) {
   
   
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            IOUtils.copy(request.getInputStream(), baos);
            this.requestBody = baos.toByteArray();
        }
        // 创建一个 ByteArrayInputStream 对象,用于重复读取requestBody
        final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);
        return new ServletInputStream() {
   
   

            @Override
            public boolean isFinished() {
   
   
                // 始终返回false,表示数据流未完成
                return false;
            }

            @Override
            public boolean isReady() {
   
   
                // 始终返回false,表示数据流未准备好
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
   
   
                // 不执行任何操作,因为该数据流不支持异步操作
            }
最低0.47元/天 解锁文章
SpringBoot接口安全加固:防篡改与防重放攻击的实战策略
墨夶的博客
11-28 1169
在当今的网络环境中,API接口的安全至关重要。SpringBoot作为轻量级的Java企业级应用框架,提供了多种机制来保护接口免受篡改和重放攻击。本文将深入探讨如何在SpringBoot中设计接口防止数据篡改和重放攻击,确保接口的安全性和数据的完整性。
接口防篡改+防重放攻击
最新发布
Java后端技术栈
01-18 3232
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。如果没有,则创建这个key,把这个key失效的时间和验证timestamp失效的时间一致,比如是60s。如果有,说明这个key在60s内已经被使用了,那么这个请求就可以判断为重放请求。去redis中查找是否有key为nonce:{nonce}的string。
Spring Boot接口设计防篡改、防重放攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计防篡改、防重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 6424
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
qq_42003636的博客
02-07 683
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。
API接口防止参数篡改和重放攻击
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
API接口防重放
Frankltf的博客
08-03 393
背景 • API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数 为了防止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制; 安全策略 • 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 • 2.其次:需要有安全的后台验证机制【本文重点】,达到防参数篡改+防二次请求...
springboot实现接口签名
06-06
在IT行业中,接口签名是一种确保数据安全传输的重要机制,特别是在微服务架构中,如Spring Boot应用与其他系统进行数据交互时。接口签名的主要目的是验证请求的来源合法性,防止数据被篡改,以及确保通信双方的数据...
SpringBoot中,接口签名,通用方案,以确保接口的安全性
小哇
10-05 1528
包装HttpServletRequest,以便在读取请求体后仍可重复读取。最后的效果,只能发一次请求,重复发送请求,就会失败。签名验证过滤器,用于校验请求的合法性。
《优化接口设计的思路》系列:第六篇—接口防抖(防重复提交)的一些方式
summon的博客
12-05 2677
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。作为一名从业已达六年的老码农,我的工作主要是开发后端Java业务系统,包括各种管理后台和小程序等。在这些项目中,我设计过单/多租户体系系统,对接过许多开放平台,也搞过消息中心这类较为复杂的应用,但幸运的是,我至今还没有遇到过线上系统由于代码崩溃导致资损的情况。这其中的原因有三点:一是业务系统本身并不复杂;
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
API接口防重放
CHENJINGBIN的博客
10-06 4852
我们在设计API接口时,最怕的莫过于同一个接口给用户截获重放提交,那什么是重放提交:对同一个请求发送多次到后台,对系统产生异常影响。 应对的策略有: 1使用时间戳timestamp。 2使用nonce,什么是nonce呢? nonce = MD5(timestampe+rand(0,1000)) 3使用timestamp+nonce 通常是使用第三种的方法去处理。 服务端 1第一次接受请求,对请求...
Java编程:API接口防止重放攻击(重复攻击)
天将降大任于是人
08-05 1万+
定义
接口防止重放攻击策略
qq_36807862的博客
07-31 4870
【0】使用https保证网络传输的安全; 【1】中间人攻击防范策略: 接口调用身份私钥签名公钥验签,这种方式既可以防止参数在传输过程中被篡改,因为一旦篡改,sing签名将对应不上,调用失败; 同时使用公钥和配对的私钥进行签名和验签,保证了服务端和客户端的身份 【2】重放攻击防范策略: 客户端第一次请求使用签名sign,服务端验证通过,给客户端返回一个唯一的订单号,并将该订单号存放在redis...
SpringBoot如何防止会话重放攻击呢
u013269298的博客
05-19 2208
(会话重放攻击)客户端对服务端的网络请求如果被攻击者拦截并且抓取,攻击者可以用抓取到的参数不断对接口发起重复请求,造成大量重复操作且可能产生重复数据。
SpringBoot系列——防重放与操作幂等
weixin_68320784的博客
04-08 2231
前言 日常开发中,我们可能会碰到需要进行防重放与操作幂等的业务,本文记录SpringBoot实现简单防重与幂等 防重放防止数据重复提交 操作幂等性,多次执行所产生的影响均与一次执行的影响相同 解决什么问题? 表单重复提交,用户多次点击表单提交按钮 接口重复调用,接口短时间内被多次调用 思路如下: 1、前端页面表提交钮置灰不可点击+js节流防抖 2、Redis防重Token令牌 3、数据库唯一主键 + 乐观锁 具体方案 pom引入依赖 <!-- Redis
SpringBoot接口防抖(防重复提交)
陆卿之的博客
06-04 3417
Spring Boot接口防抖(Debouncing)的概念是指在处理请求时,通过一定的机制来防止用户频繁触发同一接口请求,以防止重复提交或频繁请求的情况发生。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值