API接口安全

原创 已于 2023-04-09 11:15:47 修改 · 760 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口安全 #安全 #token #token安全

于 2021-04-19 22:30:44 首次发布

token被劫持,DOS攻击,重复提交等,接口安全尤为重要,接口安全主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用。

Token授权

token是客户端访问服务端的凭证。用户通过账号密码登录后,服务器返回token给客户端,并存储在缓存中,服务器接受到请求后进行token验证,如果token不存在说明未登录,

时间戳超时

时间戳超时机制是防御DOS攻击的有效手段。每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5秒钟),则认为该请求失效。

签名

签名机制保证了数据不会被篡改。将Token和时间戳加上其他请求参数再用MD5或其他算法加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一致,说明参数被更改过,直接返回错误。

IP限制

通过IP解密,防止token被截取后在别的网络环境发出请求,在服务器通过请求ip与这个ip必须一致才能解密

拒绝重复调用

客户端第一次访问时,将签名sign存放到缓存中,超时时间设定为5秒,则5秒内只能访问一次。如果使用同一个URL再次访问,发现缓存中已经存在了本次签名,则拒绝服务。
在这里插入图片描述

  1. 客户端通过用户名密码登录服务器并获取Token
import com.example.user.cache.CacheUtil;
import com.example.user.result.Result;
import org.springframework.web.bind.annotation.*;

import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

@RestController
public class UserController {

    @GetMapping("login")
    public Result login(@RequestParam String username, @RequestParam String password){
        String token = null;
        if("zhangshan".equals(username) && "123456".equals(password)){
            token = UUID.randomUUID().toString().replaceAll("-","");
            CacheUtil.newNoCache().put(token,username);
        }
        return Result.success(token);
    }
    
	@GetMapping("users/{id}")
    public Result users(@PathVariable String id){
        Map user = new HashMap();
        if("1".equals(id)){
            user.put("username","zhangsan");
            user.put("password","123456");
            user.put("sex","man");
        }
        return Result.success(user);
    }
}

  1. 客户端生成时间戳timestamp,并将timestamp作为其中一个参数

  2. 客户端将Token和timestamp按照自己的算法(这里使用MD5)进行排序加密得到签名sign

  3. 将token、timestamp和sign作为请求时必须携带的参数加在每个请求的URL后边(http://localhost/users/1?token=334d1e48834b494daef3657dfac47af7&timestamp=1618815569248&sign=30819c9c1504795b74a198e0f35b3789)

  4. 服务端写一个过滤器对token、timestamp和sign进行验证,只有在token有效、timestamp未超时、缓存服务器中不存在sign三种情况同时满足,本次请求才有效

import com.alibaba.fastjson.JSON;
import com.example.user.cache.CacheUtil;
import com.example.user.crypto.SignUtil;
import com.example.user.result.CodeMsg;
import com.example.user.result.Result;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.OutputStream;

/**
 * 登录过滤器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getParameter("token");
        String timestamp = request.getParameter("timestamp");
        String sign = request.getParameter("sign");
        String uri = request.getRequestURI();
        if(null == token || null == timestamp || null == sign){
            render(response,CodeMsg.UNAUTHORIZED);
            return false;
        }
        //验证token
        if(null == CacheUtil.newNoCache().get(token)){
            render(response,CodeMsg.TOKEN_ERROR);
            return false;
        }
        //校验超时
        long currentTime = System.currentTimeMillis();
        long timeOut = currentTime-Long.valueOf(timestamp);
        if(timeOut > 5000 || timeOut < 0){
            render(response,CodeMsg.REQ_TIMEOUT);
            return false;
        }
        //验证签明
        String data = token+timestamp;
        if(!SignUtil.verify(data, sign)){
            render(response,CodeMsg.SIGN_ERROR);
            return false;
        }
        //防止重复提交
        if(null != CacheUtil.newNoCache().get(token+uri)){
            render(response,CodeMsg.DUPLICATE_SUBMISSION);
            return false;
        }else {
            CacheUtil.newNoCache().put(token+uri,"1",10L);
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg cm) throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str  = JSON.toJSONString(Result.codeMsg(cm));
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }
}

注册拦截器

import com.example.user.interceptor.LoginInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Bean
    public LoginInterceptor getLoginInterceptor() {
        return new LoginInterceptor();
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getLoginInterceptor()).addPathPatterns("/users/*");
        super.addInterceptors(registry);
    }

}

简化版签名工具类

import org.springframework.util.DigestUtils;

public class SignUtil {

    /**
     * 签名
     * @param data
     * @return
     */
    public static String sign(String data){
        String signed = DigestUtils.md5DigestAsHex(data.getBytes());
        return signed;
    }

    /**
     * 验证签名
     * @param data  元数据
     * @param signed    签名数据
     * @return
     */
    public static boolean verify(String data,String signed){
        String sign = SignUtil.sign(data);
        return sign.equals(signed);
    }

}

简化版统一返回

public enum CodeMsg {

    SUCCESS(200, "成功"),
    ERROR(500, "服务器异常"),
    UNAUTHORIZED(401,"您还未登录"),
    TOKEN_ERROR(401,"token校验失败"),
    SIGN_ERROR(401,"签名认证失败"),
    REQ_TIMEOUT(403,"请求超时"),
    DUPLICATE_SUBMISSION(403,"重复提交");

    private int code;

    private String msg;

    CodeMsg(int code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

}

public class Result<T> {

    private int code;

    private String msg;

    private T data;

    private Result() {
    }

    protected Result(int code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    protected Result(CodeMsg cm) {
        this.code = cm.getCode();
        this.msg = cm.getMsg();
    }

    protected Result(CodeMsg cm, T data) {
        this.code = cm.getCode();
        this.msg = cm.getMsg();
        this.data = data;
    }

    public static <T> Result success(T data) {
        return new Result(CodeMsg.SUCCESS, data);
    }

    public static Result codeMsg(CodeMsg cm) {
        return new Result(cm);
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

    public T getData() {
        return data;
    }

    public void setData(T data) {
        this.data = data;
    }
}
C# API接口安全设计全攻略:从入门到进阶再到精通
java专栏
04-21 2047
通过本篇深度解析,读者从零开始学习了C# API接口设计的安全原则、实现方法、进阶技巧及最佳实践,涵盖了身份验证、授权、数据加密、输入验证、错误处理、版本控制等多个关键领域。结合丰富的代码示例与注释,读者应能设计和实现安全可靠的C# API接口,并在实际工作中持续优化与监控,确保API接口安全性。遵循REST(Representational State Transfer)原则设计API,使用HTTP动词(GET、POST、PUT、DELETE等)表示操作,URI表示资源,状态码传达结果。
接口安全(一)
qq_42080759的博客
11-14 3494
一、请求的截获与篡改 1.隐藏域攻击——查看元素中"display":none的即为隐藏域(用户不可见,但会随表单一起提交) 可以直接在elements中修改,删去 "display":none 页面上就能看见之前隐藏的元素了(但是一刷新就会又全部显示出来) 例如下单页面将“会员优惠”做成隐藏域,用户自己打开并输入金额后,在后端没有校验的情况下就较少了支付的金额。 避免的方式:1.在可以动态生成元素的情况下,不使用隐藏域提前创建元素;2.在提交表单时,使用js对隐藏域的值做判断 3.对于关键参数
关于接口安全
奇葩也是花
08-22 717
<?php header('content-type:text/html;charset=utf-8'); class DES { /** * DES加密 (需要打开php.ini的extension=php_mcrypt.dll) * @param string $input * @param string $key * @return str
接口安全
yuanrao的博客
07-25 538
 * 关于接口安全:  * ####################################################################################################  *      1、加密 【非对称加密 RSA ,对称加密 DES 3DES AES】 -- 不明文传数据,安全性会更高  *              对称加密和非对称...
API 接口安全处理
API
03-16 9497
背景 开放 API 接口如果没有经过安全处理,则很容易出现三类安全问题,包括信息截获、篡改与泄露。 首先是用户密码容易被截获,比如某家公司在开发开放式 API 时,没有对其进行安全控制,那么该公司的客户信息很容易被黑客截获,黑客在掌握客户的用户名、密码等相关信息与资料后,便能够利用客户的身份来登录,使得客户的隐私信息泄露,黑客便可以轻易地盗刷客户信用卡,使得客户承受损伤;其次是表单数据很容易被篡改,比如某家公司所开发的开放 API 并没有进行过防篡改控制,有客户在购买1000 元产品后,其提交表单被黑客利用
api 接口安全
qq_39548647的博客
08-30 491
一、概念 1. 系统参数 不同于业务参数,系统参数是无论如何都要传递给后端的参数。传递时,不与业务参数混在一起,而是在请求header中传输。 2. 秘钥 后端会为每个第三方/调用方设置一个秘钥,需要保密,只有后端代码与第三方/调用方自己知道。该秘钥用于在调用接口前,生成签名,后端在收到请求后,验证签名。 3. 签名 签名由前端生成,并在请求header中传输给后端。只有在前端生成的签名通过了后端的验证后,该请求才算有效。 二、前端 1. 系统参数 系统参数,即为“与业务无关”
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
PHP开发api接口安全验证的实例讲解
10-18
了解并掌握这些知识点,对于开发者而言,是保证开发出的API接口安全可靠的重要基础。同时,通过这种安全验证的实践,开发者可以更好地理解在现实世界中如何有效地防止API接口被滥用,提高应用的安全等级。
api接口安全
chensli的博客
11-29 580
Api接口安全 Api接口可以分两种一种是需要登录才能获取数据,使用的是token 使用jwt加密技术加密用户信息,设置token的过期时间一般是2个小时,提高token安全性,然后把token返回给客户端,客户端可以将token存入localstorage或者cookie中,cookie和localstorage的区别是cookie只能存4k的数据,localstarage能存5m,cook...
漫谈Java语言的接口与类型安全
键者天行
10-26 6323
  接口是实现构件可插入性的关键,可插入构件的关键在于存在一个公用的接口,以及每个构件实现了这个接口。   什么是接口?  Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。  接口的两种含义:一,Java接口,Java语言中存在的结构,有特定的语法和结构;二,一个类所具
接口安全设计
最新发布
肥柯博客
05-16 1491
本文简述开发过程中对接口防刷、接口防篡改、接口时效性、接口加密、接口文档的描述和运用
浅谈API接口中的安全
qq_42011355的博客
10-14 2143
前言 在我们平时进行前后端分离项目开发和调用外部功能时,都会使用API接口形式与服务器进行数据通信,而对于网页或者app,只要通过抓包就可以清楚的知道这个请求获取到的数据,数据充满着被盗用、伪造的风险,所以如何保证API调用时数据的安全性是个非常重要的问题。 通常的解决方案有: 1、通信使用https 2、请求签名,防止参数被篡改 3、时间戳超时机制 4、防重放,防止接口被第二次请求,防采集 一、通信使用HTTPS 为了解决在使用HTTP时出现这种情况:用户注册的请求在到达服务器之前,就已经被人截获了,用户
API接口安全开发实战:加密与鉴权
使用Https进行通信则是另一种保证API接口安全的手段。Https是HTTP协议的安全版本,它通过在HTTP层和TCP/IP层之间增加SSL/TLS安全协议层,对数据进行加密传输。使用Https可以确保数据传输的机密性和完整性,防止数据...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值