如何设计安全可靠的开放接口【番外篇】---关于MD5应用的介绍

已于 2022-06-07 08:08:53 修改
阅读量673 收藏 3
点赞数 1
分类专栏: 经验分享 文章标签: java 开发语言
于 2022-05-21 21:15:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_WYL2016/article/details/124895670
版权

文章目录

【如何设计安全可靠的开放接口】系列

1. 如何设计安全可靠的开放接口—之Token
2. 如何设计安全可靠的开放接口—之AppId、AppSecret
3. 如何设计安全可靠的开放接口—之签名(sign)
4. 如何设计安全可靠的开放接口【番外篇】—关于MD5应用的介绍
5. 如何设计安全可靠的开放接口—还有哪些安全保护措施
6. 如何设计安全可靠的开放接口—对请求参加密保护
7. 如何设计安全可靠的开放接口【番外篇】— 对称加密算法

前言

在提到对于开放接口的安全设计时,一定少不了对于摘要算法的应用(MD5算法是其实现方式之一),在接口设计方面它可以帮助我们完成数据签名的功能,也就是说用来防止请求或者返回的数据被他人篡改。

本文我们单从安全的角度出发,看看到底哪些场景下的需求可以借助MD5的方式来实现。

密码存储

在一开始的时候,大多数服务端对于用户密码的存储肯定都是明文的,这就导致了一旦存储密码的地方被发现,无论是黑客还是服务端维护人员自己,都可以轻松的得到用户的账号、密码,并且其实很多用户的账号、密码在各种网站上都是一样的,也就是说一旦因为有一家网站数据保护的不好,导致信息被泄露,那可能对于用户来说影响的则是他的所有账号密码的地方都被泄露了,想想看这是多少可怕的事情(这点CSDN应该深入感触。。。)

所以,那应该要如何存储用户的密码呢?最安全的做法当然就是不存储,这听起来很奇怪,不存储密码那又如何能够校验密码,实际上不存储指的是不存储用户直接输入的密码。

如果用户直接输入的密码不存储,那应该存储什么呢?到这里,MD5就派上用场了,经过MD5计算后的数据有这么几个特点:1. 其长度是固定的、2. 其数据是不可逆的、3. 一份原始数据每次MD5后产生的数据都是一样的。

下面我们来实验一下

public static void main(String[] args) {
    String pwd = "123456";
    String s = DigestUtils.md5Hex(pwd);
    System.out.println("第一次MD5计算:" + s);
    String s1 = DigestUtils.md5Hex(pwd);
    System.out.println("第二次MD5计算:" + s1);
    pwd = "123456789";
    String s3 = DigestUtils.md5Hex(pwd);
    System.out.println("原数据长度变长,经过MD5计算后长度固定:" + s3);
}

第一次MD5计算:e10adc3949ba59abbe56e057f20f883e
第二次MD5计算:e10adc3949ba59abbe56e057f20f883e
原数据长度变长,经过MD5计算后长度固定:25f9e794323b453885f5181f1b624d0b

有了这样的特性后,我们就可以用它来存储用户的密码了。

    public static Map<String, String> pwdMap = Maps.newConcurrentMap();

    public static void main(String[] args) {
        // 一般情况下,用户在前端输入密码后,向后台传输时,就已经是经过MD5计算后的数据了,所以后台只需要直接保存即可
        register("1", DigestUtils.md5Hex("123456"));

        // true
        System.out.println(verifyPwd("1", DigestUtils.md5Hex("123456")));
        // false
        System.out.println(verifyPwd("1", DigestUtils.md5Hex("1234567")));
    }

    // 用户输入的密码,在前端已经经过MD5计算了,所以到时候校验时直接比对即可
    public static boolean verifyPwd(String account, String pwd) {
        String md5Pwd = pwdMap.get(account);
        return Objects.equals(md5Pwd, pwd);
    }

    public static void register(String account, String pwd) {
        pwdMap.put(account, pwd);
    }

MD5后就安全了吗?

目前为止,虽然我们已经对原始数据进行了MD5计算,并且也得到了一串唯一且不可逆的密文,但实际上还远远不够,不信,我们找一个破解MD5的网站试一下!

我们把前面经过MD5计算后得到的密文查询一下试试,结果居然被查询出来了!
在这里插入图片描述

之所以会这样,其实恰好就是利用了MD5的特性之一:一份原始数据每次MD5后产生的数据都是一样的。

试想一想,虽然我们不能通过密文反解出明文来,但是我们可以直接用明文去和猜,假设有人已经把所有可能出现的明文组合,都经过MD5计算后,并且保存了起来,那当拿到密文后,只需要去记录库里匹配一下密文就能得到明文了,正如上图这个网站的做法一样。

对于保存这样数据的表,还有个专门的名词:彩虹表,也就是说只要时间足够、空间足够,也一定能够破解出来。

加盐

正因为上述情况的存在,所以出现了加盐的玩法,说白了就是在原始数据中,再掺杂一些别的数据,这样就不会那么容易破解了。

String pwd = "123456";
String salt = "wylsalt";
String s = DigestUtils.md5Hex(salt + pwd);
System.out.println("第一次MD5计算:" + s);

第一次MD5计算:b9ff58406209d6c4f97e1a0d424a59ba

你看,简单加一点内容,破解网站就查询不到了吧!

攻防都是在不断的博弈中进行升级,很遗憾,如果仅仅做成这样,实际上还是不够安全,比如攻击者自己注册一个账号,密码就设置成1

在这里插入图片描述

String pwd = "1";
String salt = "wylsalt";
String s = DigestUtils.md5Hex(salt + pwd);
System.out.println("第一次MD5计算:" + s);

第一次MD5计算:4e7b25db2a0e933b27257f65b117582a

虽然要付费,但是明显已经是匹配到结果了。
在这里插入图片描述

所以说,无论是密码还是盐值,其实都要求其本身要保证有足够的长度和复杂度,这样才能防止像彩虹表这样被存储下来,如果再能定期更换一个,那就更安全了,虽说无论再复杂,理论上都可以被穷举到,但越长的数据,想要被穷举出来的时间则也就越长,所以相对来说也就是安全的。

数字签名

摘要算法另一个常见的应用场景就是数字签名了,这点我们在 如何设计安全可靠的开放接口—之签名(sign)文章中有具体应用。

大致流程,百度百科也有介绍
在这里插入图片描述

码拉松
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通用接口开放平台设计与实现——(1)整体介绍
学海无涯,行者无疆
01-25 6020
首先简单聊下背景,大概是几年前,工作中遇到这么一个复杂的应用场景,大型企业中的物流系统,需要跟众多的内外部系统交互,对接的系统达到十几个,接口数量在50个左右,并且后续还会大量增加新的对接方,并且很多对接方是类似的,例如跟汽运物流厂商的运输管理系统TMS,进行运输委托、运力反馈、运费结算、签收回传等交互。API服务:物流接口平台对外提供统一的数据接口服务,其他应用系统通过调用API服务,一方面,可以查询权限范围内的物流数据,另一方面,可以将自身系统产生的数据推送至物流系统。
2.1.8 LOOKUP函数-Excel函数番外篇.mp4
09-17
LOOKUP函数-Excel函数番外篇
jmeter完成md5加密的接口请求参数
测试帮日记
05-12 1万+
但有时候我们请求的参数可能需要加密,比如登录接口中的密码可能需要经过md5加密这时候怎么处理呢?   第一种方法: 这种方法比较简单,jmeter内置了一个md5的函数,可以直接使用。其中参数username是用户名,正常填写,password是密码经过md5加密   第二种方法: 需要有一定的编程技术,利用beanshell完成,大致步骤如下: 1、导出md5的算法为jar...
如何设计安全可靠开放接口---之Token
自律使我自由
05-12 3396
前言 Open API是会暴露到公网被访问的接口,那与内网接口最重要的区别就是如何做好安全的问题,常见的安全问题有:合法身份判别、数据防窥、数据防篡改、请求防重放、Dos攻击等等,本文针对这些安全问题整理了一些常见的应对措施。 合法身份判别 首先,我们先来看看如何解决身份判别的问题,身份判别最简单的方式就是让用户自己注册账号、密码,然后使用账号、密码登陆成功后再进行接口请求,但是对于Open API来说一般是没有登陆这一步操作的,所以我们就需要通过另一种方式来间接的让请求用户实现登陆。 Token Toke
如何设计一个安全的对外接口?
weixin_46742102的博客
09-27 495
前言 最近有个项目需要对外提供一个接口,提供公网域名进行访问,而且接口和交易订单有关,所以安全性很重要;这里整理了一下常用的一些安全措施以及具体如何去实现。 安全措施 个人觉得安全措施大体来看主要在两个方面,一方面就是如何保证数据在传输过程中的安全性,另一个方面是数据已经到达服务器端,服务器端如何识别数据,如何不被攻击;下面具体看看都有哪些安全措施。 1.数据加密 我们知道数据在传输过程中是很容易被抓包的,如果直接传输比如通过http协议,那么用户传输的数据可以被任何人获取;所以必须对数据加密,常
开放api接口签名验证
weixin_30527143的博客
03-30 2063
在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
【转载】利用md5加密实现API接口的加签验签
t194978的博客
03-25 2590
1、背景 我现在有几个公开的接口需要开放给第三方厂商,第三方厂商通过调用我的接口获取数据,由于这些接口放开了登录的拦截,而且是直接暴露在公网上的,因此想给这几个接口加上权限的验证,即加签验签。 2、技术选型 通过某歌和某度查找资料,以及向一些博主、论坛、微信群、QQ群请教…发现...
番外篇 - 利用YOLOv5实现视频划定区域目标统计计数》完整代码
最新发布
04-05
内容专栏:《YOLOv5:从入门到实战》 内容介绍:《番外篇 | 利用YOLOv5实现视频划定区域目标统计计数》完整代码 适用人群:初入行的人工智能学习者、YOLOv5算法初入门的学生等。
番外篇 - YOLOv5+DeepSort实现行人目标跟踪检测》完整代码
02-24
DeepSort是一种用于目标跟踪的深度学习算法。它结合了目标检测和目标跟踪的技术,能够在视频中准确地跟踪多个目标,并为每个目标...本节课就手把手教大家如何采用YOLOv5+DeepSort相结合的方式实现行人目标跟踪检测。
仿射大法番外篇-6页.pdf
11-15
仿射大法番外篇-6页.pdf
HTML5/CSS3清爽后台番外篇-添加锁屏效果
03-28
NULL 博文链接:https://sarin.iteye.com/blog/1222527
接口测试--参数实现MD5加密签名规则
CeshirenTester的博客
07-08 460
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。添加环境变量,然后在Pre-request-Script中写MD5加密签名规则的脚本。文末会简单介绍一下)。具体步骤如下哦~~Jmeter
API安全接口安全设计
热门推荐
zhou920786312的博客
07-13 1万+
如何保证外网开放接口的安全性。 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上a...
开放接口/RESTful/Api服务的设计和安全方案详解
南北雪树的专栏
04-11 8610
总体思路这个涉及到两个方面问题:一个是接口访问认证问题,主要解决谁可以使用接口(用户登录验证、来路验证)一个是数据数据传输安全,主要解决接口数据被监听(HTTPS安全传输、敏感内容加密、数字签名)用户身份验证:Token与Session开放接口Api服务其实就是客户端与服务端无状态交互的一种形式,这有点类似REST(Representational State Transfer)风格。普通网站应用...
开放API接口安全设计
Bonrui编程路
09-05 2611
前言 随着项目前后端分离的火热,后台开发的重点主要是对外提供接口,那么API接口的安全就是要考虑的问题。前后端分离和传统的开发模式有很大的差异,本文将针对以下问题进行探讨: 前后分离和传统项目的区别 为什么前后分离需要关注接口安全问题 攻击方式有哪些 如何保障接口的安全 一、前后分离和传统项目的区别 1:前端渲染方式不同 传统项目是前后端不分离的,后端通过模板渲染引擎在后端渲染前端页...
互联网开放平台API安全设计
art_code的博客
01-24 1079
互联网开放平台API安全设计 互联网开放平台设计1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,如何保证外网开放接口的安全性。2.常用解决办法:2.1 使用加签名方式,防止篡改数据2.2 使用Https加密传输2.3 搭建OAuth2.0认证授权2.4 使用令牌方式2.5 搭建网关实现黑名单和白名单 案例:...
MD5如何在网络环境中保证数据接口的安全
weixin_40585816的博客
07-27 674
安全是一个比较泛的概念 我个人比较习惯从三个维度分别论述数据的安全: 1.数据接口访问权限是否可以控制 2.数据接口提供的数据内容是否能保证不被他人获取 3.数据完整性是否可以保证   1.访问权限是否可以控制?     一般客户端对接服务器,接口权限控制的模型是基于session或token,token和sessionId在网络中传输的过程中,若没有其他安全性的保证,被他人窃取to...
@Transactional注解事务失效的七种原因分析
自律使我自由
06-29 1万+
1、异常被捕获后没有抛出 2、抛出非运行时异常 3、方法内部直接调用 4、新开启一个线程 5、非public的方法 6、数据库本身不支持 7、事务传播级别设置错误
fastjson中JSONObject.parse方法使用注意
自律使我自由
10-16 1万+
今天遇到有同事在使用fastjson的JSONObject时,直接在parse方法中传入了一个非json格式的字符串,造成有时候报错,有时候又能正常返回。 问题现象 当你传入一个数值类型时,可以正常解析,当你传入一个非数值类型时,解析就报错了。 public class TestJson { public static void main(String[] args) { Object parse = JSONObject.parse("12345678"); Sys
Cesium教程番外篇--自定义Geometry(一)
05-31
好的,您想了解有关自定义几何体的内容,我很乐意为您解答。首先,让我们了解一下什么是几何体。 在Cesium中,几何体是由一些点、线和三角形组成的图形。几何体可以在地球上显示各种形状的物体,如建筑、飞机、汽车...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码拉松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值