前后端请求设置签名验证,提升接口安全

原创 已于 2022-08-09 10:19:13 修改 · 5.3k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口安全 #nodejs #签名验证 #安全

于 2020-12-19 10:51:36 首次发布

前端请求设置签名

签名生成
import md5 from 'js-md5';
export default {
	//请求头header配置,data是请求的参数
    getBaseHeaders(data) {
        let dataSort = this.sortByKey(data);
        let dataStr = this.strJoin(dataSort);
        let urlStr = window.location.origin;
        let timestamp = new Date().getTime();
        let nonceStr = Math.random().toString(36).substr(2);
        //生成前端签名
        let signature = md5(dataStr + '&timestamp=' + timestamp + '&nonce=' + nonceStr + '&url=' + urlStr);
        let postBaseHeaders = {
            timestamp: timestamp,
            nonce: nonceStr,
            signature: signature,
        };
        return postBaseHeaders;
    },
    //参数排序
    sortByKey(obj) {
        const newkey = Object.keys(obj).sort();
        let newObj = {};
        for (let i = 0; i < newkey.length; i++) {
            newObj[newkey[i]] = obj[newkey[i]];
        }
        return newObj;
    },
    //参数序列化
    strJoin(resData) {
        let i = 0;
        let str = '';
        let strJoint = '';
        let arr = Object.keys(resData);
        for (let key in resData) {
            str = key + '=' + resData[key];
            i++;
            if (i < arr.length) {
                strJoint = strJoint + str + '&';
            } else if (i == arr.length) {
                strJoint = strJoint + str;
            }
        }
        console.log(strJoint);
        return strJoint;
    },
};
axios应用
/* 请求拦截 */
axios.interceptors.request.use(
    (config: any) => {
		let headers = getBaseHeaders({name: 'test'});
		config = Object.assign(config, { headers });	   
		return config;
    },
    (error: any) => {
        return Promise.reject(error);
    }
);

后端nodejs校验签名

const Koa = require('koa');
const bodyParser = require('koa-bodyparser');
const md5 = require('js-md5');

const app = new Koa();
app.use(bodyParser());

app.use(async (ctx) => {
    let url = ctx.headers.origin; //前端地址
    let timestamp = ctx.headers.timestamp; //时间戳
    let nonce = ctx.headers.nonce; //随机字符串
    let signature = ctx.headers.signature; //前端签名
    let postData = ctx.request.body; //参数
	
	//参数以key字典顺序(ASCII值大小)升序排序
    let dataSort = sortByKey(postData); 

	//参数序列化拼接
    let dataStr = strJoin(dataSort); 
    
    //md5生成后端签名
    let newSignature = md5(`${dataStr}&Timestamp=${timestamp}&nonce=${nonce}&url=${url}`); 

    //签名校验
    if (signature === newSignature) {
        ctx.body = {
            code: 200,
            msg: '签名校验成功',
            data: 'true',
        };
    } else {
        ctx.body = {
            code: 4000,
            msg: '签名校验失败',
            data: 'false',
        };
    }

    function sortByKey(obj) {
        const newkey = Object.keys(obj).sort();
        var newObj = {};
        for (var i = 0; i < newkey.length; i++) {
            newObj[newkey[i]] = obj[newkey[i]];
        }
        return newObj;
    }

    function strJoin(resData) {
        let i = 0;
        let str = '';
        let strJoint = '';
        var arr = Object.keys(resData);
        for (let key in resData) {
            str = key + '=' + resData[key];
            i++;
            if (i < arr.length) {
                strJoint = strJoint + str + '&';
            } else if (i == arr.length) {
                strJoint = strJoint + str;
            }
        }
        return strJoint;
    }
});

const hostName = '127.0.0.1'; //IP
const port = 80; //端口
app.listen(port, hostName, () => {
    console.log(`服务运行在http://${hostName}:${port}`);
});

console.log('成功启动');
SpringBoot 系列教程(八十五):Spring Boot使用MD5Api接口前后端分离架构设计
Thinkingcao的专栏
12-18 9359
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
终于把前后端sm解密以及验证调通了。
qq_41846013的博客
02-21 5180
领导要求我对项目的数据传输安全考虑下,因此就想到了对敏感字段做密和对请求、响应做数字签名验证。网上看了很多文章,可能是因为我对密这块不了解,感觉都比较乱。所以前前后后花了4天才把前后端调通。特地写一篇文章记录下流程。这里使用的是sm国密算法。不对的地方请读者评论指出。
接口签名设计
kevin的博客
09-22 1535
接口签名设计 文章目录接口签名设计Why-为什么需要签名How-如何做签名签名JWT token生成整体设计 Why-为什么需要签名 API签名即对API接口的调用进行签名保护,在进行API调用的时候,多了一个签名的过程,通过签名,才能进行接口的调用,这个签名可以理解为一个合法的调用凭证 一个签名需要做什么: 明确调用者是谁,即签名中需要带上需要带上用户标识(可以是用户UID,可以是openID等等) 明确调用者想干什么,可以日志记录签名失败的调用者信息和其调用接口
请求签名(Request Signature)
最新发布
qq_40107571的博客
11-15 527
摘要: RequestSignature是一种网络请求安全机制,通过签名验证实现身份认证和防篡改。前端将请求参数、时间戳、随机串等按固定规则密生成签名(如HMAC-SHA256),后端通过相同规则校签名有效性,拒绝篡改或过期请求。核心要素包括密钥(secretKey)、时间戳(防重放)、随机串(防重复攻击)及排序密逻辑。示例代码展示了前端生成签名(含随机串、时间戳、参数排序)与后端验证(校时间差、nonce唯一性、签名匹配)的全流程,结合Redis缓存nonce防止重放攻击。该机制有效保障API请求
前后端分离技术之,报文防篡改
qq_52183856的博客
12-13 952
通过后端RSA非对称密方式,对返回的数据使用私钥进行密,增返回参数sign,前端使用公钥来对相同的数据密,通过对比生成的sign来判断数据是否存在篡改的情况。最近项目上被渗透扫到可以通过篡改后端返回的报文,来使前端跳过校进入下一步操作。
前后端分离。前端实现参数签名,后端实现接口
leo
11-26 4937
首先是后台实现的接口,这里放上我的代码地址 贴上核心代码 public class SignUtil { private static final String FIELD_SIGN = "sign"; private static final String FIELD_SIGN_TYPE = "sign_type"; private static final String TIMESTAMP = "timestamp"; private static final
java后端签名前端
qq_66947821的博客
07-07 451
签名
thinkphp+jwt实现前后端分离
03-15
2. **安全性**:通过签名算法确保数据不可篡改,同时可以设置过期时间,防止凭证长期有效。 3. **无状态**:服务器无需存储会话信息,降低了服务器负载,也利于分布式部署。 4. **跨域认证**:JWT可以在多个服务之间...
提升前后端接口安全:JWT+RSA密新技术解析
资源摘要信息:"新版前后端接口安全技术JWT+RSA密" ...通过以上知识点的学习,开发者可以更深入地理解新版前后端接口安全技术中的JWT和RSA密,并在实际项目中更有效地应用这些技术,提升系统安全性。
PHP API接口安全请求验证与效方法
签名验证通过将请求的参数按照一定的规则组合,然后使用密钥进行密生成签名。服务器端接收到请求后,再次按照相同的规则和密钥生成签名,与客户端传递的签名进行比对。 在ThinkPHP中,可以在API接口中添签名...
前后端接口交互密解密数据.zip
09-16
这个压缩包可能包含具体的Java和JavaScript代码示例,演示如何在实际项目中实施这些密解密方法,对于学习和理解前后端接口安全交互具有很高的参考价值。开发者可以通过学习这些示例,更好地理解和实践数据密,...
Python API签名验证Flask实现示例
API签名验证是现代Web服务中保障接口安全的核心机制之一,尤其在构建RESTful API时,如何确保请求的合法性、防止数据被篡改、抵御重放攻击(Replay Attack)等问题显得尤为重要。本资源标题为“Python-Api签名验证...
前后端分离之 API签名验证
qq_39835505的博客
03-18 2509
签名参考 签名规则 一 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret 2、入timestamp(时间戳),5分钟内数据有效 3、入临时流水号 nonce(防止重复提交),至少为10位。针对查询接口,流水号只用于日志落地,便于后期日志核查。针对办理类接口需校流水号在有效期内的唯一性,以避免重复请求。 4、签名字段signature,所有数据的签名信息。 以上字段放在请求头中。 二 https://blog.youkuaiyun.com/li741
前后端分离技术之,防篡改
ilovexiaou的博客
11-29 4703
上一篇讲解了密解密,这次来个,实际项目里,我们采用的是react 和nodejs 来进行,用的jsrsasign库,下面贴点核心代码 react nodejs 实际应用在nodejs层可以将时间戳和sign签名验证通过剔除掉,所以对后端就是无感的。 下面来介绍下客户端见,前面的代码也有,以java为例 import org.apache.c...
若依前后端分离签名验证
weixin_45729937的博客
05-10 2069
若依前后端分离签名验证
再谈前后端API签名安全
qq_53058639的博客
02-23 965
首先很明显的是我们可以看到name参数是明文的,如果对安全性要求很高,建议查询也用POST请求,前面我们对所有POST请求的参数都做了密操作。无论是GET还是POST都可以做签名明文没关系,关键是这个请求我复制到浏览器中打开,把name改成别的值,如果真的存在的话也是能返回结果的。问题就在这,参数被修改了,后端无法识别,这是第一个问题。第二个问题是这个请求可以无限的使用,就是你明天去请求这个地址它还能返回结果,这个其实也需要控制下,当然控制的方式有很多种,今天我们会介绍一种比较简单的方式来控制。
前后端通过rsa签名
qq_53993206的博客
04-11 821
后端调用公钥方法进行rsa签名认证。前端通过rsa的私钥进行签名
前端实现电子签名
jxgalh的博客
06-22 823
通过以上步骤,我们实现了一个简单的前端签名功能。这个功能可以用于各种需要用户签名的Web应用中。通过进一步扩展,可以添更多的功能,比如不同颜色的签名笔、签名的缩放和撤销功能等。
前后端跨语言RSA解密和签名验证实现(js+python)
zerolea的博客
11-26 5271
前后端跨语言RSA解密和签名验证实现(js+python),vue+tornado框架实现
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值