浅谈API开发安全之sign的唯一性(四)

最新推荐文章于 2024-02-25 11:30:00 发布
最新推荐文章于 2024-02-25 11:30:00 发布
阅读量824 收藏 1
点赞数 1
分类专栏: Php
原文链接:https://www.cnblogs.com/we-jack/p/11363124.html
版权

如何解决sign的唯一性呢,在以往的经验中,我们都是通过标识来确定,如果有,那就用过如果没有那就是没用过,当然我们还需要将sign存储起来,这样我们才能更好的去判断他是否用过
存储的话,我们有几种方式 ,可以存在文件中,也可以存在数据库中,更甚至,我们可以存在redis中,这里我存在文件中,也就是 Cache 中

我们需要在校验通过的时候 将 sign 写入到Cache 中
那么修改 common 类 如下:

    public function checkRequestAuth(){
        $header = request()->header();

        ##判断header中基础参数
        if(empty($header['sign'])){
            throw new ApiException('sign不存在',400);
        }

        if(!in_array($header['apptype'],config("app.app_types"))){
            throw new ApiException('app_type不合法',400);
        }

//         $data = [
//             'did' => $header['did'],
//             'apptype' => $header['apptype'],
//             'time' => Time::get13TimeStamp(),
//         ];
//         halt(IAuth::setSign($data));


        if(!IAuth::checkSignPass($header)){
            throw new ApiException('授权码sign失败',401);
        }
      ##增加到缓存文件中  config在配置文件中写入
        Cache::set($header['sign'],1,config('app.app_sign_cache_time'));

        $this->header = $header;
    }

写入到Cache中之后,我们需要在下次校验的时候,获取到这个缓存判断他是否为1,那么我们需要修改下我们的 鉴权类

 public static function checkSignPass($data){
        $str = (new Aes())->decrypt($data['sign']);

        if(empty($str)){
            return false;
        }
        parse_str($str,$arr);
        if(!is_array($arr) || empty($arr['did']) || $arr['did'] != $data['did']){
            return false;
        }

        ##乘除1000增加唯一性
        if((time() - ceil($arr['time']/1000)) > config('app.app_sign_time')){
            return false;
        }
        ##判断是否有这个缓存 有就返回false 说明这个 sign已经用过
        if(Cache::get($data['sign'])){
            return false;
        }
        return true;
    }

这样我们的sign就具有了唯一性 ,以上几篇文章中,代码的逻辑,还需要根据具体的场景进行修改,但是大致流程就是这样,至此我们的 sign 解刨也可以告一段落了

如需了解更多,可以查看第一篇文章,讲解sign的生成浅谈API开发安全之生成sign(一)

半盞ˋ流年
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Hybrid技术的设计与实现
xjbclz的专栏
09-03 1185
浅谈Hybrid技术的设计与实现 前言 随着移动浪潮的兴起,各种APP层出不穷,极速的业务扩展提升了团队对开发效率的要求,这个时候使用IOS&Andriod开发一个APP似乎成本有点过高了,而H5的低成本、高效率、跨平台等特性马上被利用起来形成了一种新的开发模式:Hybrid APP。 作为一种混合开发的模式,Hybrid APP底层依赖于Native提供的容器(UIWebview)
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8445
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
淘宝API生在sign签名
07-30
声称签名的代码。有效哦。 调用 function getsign(paramlist:tstringlist;secretCode:string):string;
API开发之接口安全)----sign唯一性
weixin_30707875的博客
08-16 295
r如何解决sign唯一性呢,在以往的经验中,我们都是通过标识来确定 如果有 那就用过如果没有那就是没用过 当然我们还需要将sign存储起来 这样我们才能更好的去判断他是否用过 存储的话 我们有几种方式 可以存在文件中 也可以存在数据库中 更甚至 我们可以存在redis中 这里我存在文件中 也就是 Cache 中 我们需要在校验通过的时候 将 sign 写入到Cache 中 那么...
api_sign
long458的专栏
12-17 1091
+ (NSMutableDictionary *)signString:(NSDictionary *)paramters {     NSSortDescriptor *descriptor = [NSSortDescriptor sortDescriptorWithKey:nil ascending:YES];     NSArray *sortedKeys = [[paramters
浅谈API开发安全sign有效时间(三)
半盞ˋ流年
01-11 731
之前生成的sign和校验sign我们已经完全掌握了,但是仅仅凭借这样的sign是无法满足我们的需求的,如果一个黑客通过抓包抓到你的数据,他可以去修改你的header为这样的,body为那样的,也是可以通过sign校验的,那么我们怎么解决呢?下面将详细的为大家解说: 首先想到这样的一个问题,我么首先应当考虑到的就是sign的时效性问题。如果,我们的sign只有十秒的时间 那就算抓包,他也只能在这十秒...
Api接口Sign签名和验签
weixin_42180332的博客
06-16 3501
采用Sign =MD5(app_id , app_secret+timestamp) 验签校验 请求必带参数 version+app_id+timestamp+sign 前端请求为Json体 package com.hero.common.utils.signature; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.ServletRequest; im
Android安全开发安全使用HTTPS
AliMobileSecurity的博客
10-08 2060
为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
jsessionid和jwt_Session、Cookie、Token 【浅谈三者之间的那点事】
weixin_39754603的博客
12-21 865
Cookie 和 SessionHTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。Session 是什么客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为ConcurrentHashMap。Se...
IM开发基础知识补课():正确理解HTTP短连接中的Cookie、Session和Token
weixin_34014277的博客
04-09 1509
本文引用了简书作者“骑小猪看流星”技术文章“Cookie、Session、Token那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
淘宝API sign加密
09-09
淘宝API sign加密,淘宝客API SDK,可以直接请求sign接口
API接口数据安全解决方案-sign
php小白的奔牛历程
09-18 1435
由于接口地址的暴露,导致数据的丢失,所以必须做一些信息验证,所以添加授权码sign是一个很好的解决方法,话不多说,直接开干! 加密解密算法是需要服务端验证通过后将加密解密方案告知客户端。 我这里介绍对header头中的信息(version,app_type等)字段进行AES加密,最后在进行sign有效期验证,以及唯一性验证。 操作步骤 客户端生成sign,在http请求传值sign,app_ty...
PHP的API接口的apiSign生成规则【请求签名参数生成规则】
a898712940的博客
04-28 4157
PHP后端: 一、请求地址示例 1、请求地址 http://www.zhikev2.com/exam/seeTest?timeStamp=1525096310&apiSign=324owefldskfjsdk&userName=luowei 注:timeStamp为当前时间戳 2、参数说明 上述请求地址中附带了三个参数timeStamp、apiSign、userNa...
浅谈API开发安全之生成sign(一)
半盞ˋ流年
01-11 2383
在对于API开发中,最让人头疼的就是接口数据暴露,让一些有心之人抓包之后恶意请求,那么如何解决这一弊端呢?自然而然的我们就想到了加密 ,那我们又如何加密,如何解密,才能使之有最安全的效率呢?这是一个值得我们深思的问题,带着这些问题,我们来尝试着 一一解决 首先加密校验是需要在每次请求的时候,都要去做的,所以我们需要写一个公共类,让其他类来继承,暂定这个类就为 Common <?php /*...
api接口安全验证(sign签名和token验证)
热门推荐
yifan_lion的博客
03-30 1万+
api接口安全类型 api接口安全类型一般有以下几种类型(不完全): 防止参数篡改,使用url签名方式 防止未授权用户访问,使用用户token验证 防止未授权应用访问或者爬虫,使用appid,appsecret来保证请求授权访问 防止dos攻击浪费资源,使用时间戳timestamp 防止信息泄露,使用https安全访问 防止重放 ...
API开发之接口安全(一)----生成sign
weixin_30446613的博客
08-15 246
在对于API开发中 最让人头疼的 就是接口数据暴露 让一些有心之人 抓包之后恶意请求 那么如何解决这一弊端呢?自然而然的 我们就想到了 加密 那我们又如何加密 如何解密 才能使之有最安全的效率呢?这是一个值得我们深思的问题 带着这些问题 我们来尝试着 一一解决他们 首先加密校验是需要在每次请求的时候 都要去做的 所以我们需要 写一个公共类 让其他类来继承 暂定这个类就为 Commo...
WEB API 接口签名sign验证入门与实战
最新发布
wangluoanquan111的博客
02-25 1481
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
浅谈Api 签名算法
极客小寨的博客
12-23 1874
描述 为了保证第三方应用与API服务器之间通信的安全性,防止Secret Key盗用、数据篡改等恶意攻击行为,开放平台API 服务器使用签名机制,应用在调用开放平台API,需要计算出一个签名。 请求发起方式 通过应用客户端发起的 通过页面中的JavaScript、Flash内的ActionScript或手机、桌面客户端程序发起。则签名是由请求参数和Sess...
API安全保护:授权、认证与加密策略
"本文主要探讨了如何保证API安全性,主要关注登录授权、请求认证以及敏感数据加密三个方面。" 在API安全设计中,确保RESTful API安全性至关重要。以下是详细阐述的三个关键方面: 1. 受限资源的登录授权: 这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值