API验证

最新推荐文章于 2023-03-28 12:49:52 发布
最新推荐文章于 2023-03-28 12:49:52 发布
阅读量506 收藏
点赞数
分类专栏: python基础 文章标签: api 数据库 加密 安全 md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/defending/article/details/78157829
版权

为提高数据库安全,有必要对通过API的来访者进行判断是否为合法客户端。

通过验证签名方式。将key提前放在合法客户端,访问服务端时将key放在请求头,服务端进行验证是否为合法key。

但此方式,key是明文,被截获则泄漏。所以,必须加密。

在客户端通过MD5加密发送key,服务端收到后,取出存在服务端的key加密后比对收到的密文。

自此,我们实现密文发送。但是,密文被截获后仍然可以直接登录服务端,所以,密文必须是变化的。

我们将客户端发送的密文改为key与时间戳的组合的加密后结果,实现密文每一次都不同,并将时间戳放入请求头。在服务端收到密文后,通过从请求头中取出时间戳,并与key 组合加密后 与 密文比对,来执行验证。

然后,我们发现过去产生的所有密文都可以通过验证。

我们必须加入对密文时效性的限制。我们在请求头取出时间戳后将与当前时间戳比对,如超过一定时间则无法通过验证。

我们又考虑,黑客在截获密文后马上访问可能可以赶在密文失效前访问,所有我们将使用过的密文记录在服务端,当密文已经使用,那当前访问便无法通过验证。


client

def md5(arg):
    hs = hashlib.md5()
    hs.update(arg.encode('utf-8'))
    return hs.hexdigest()

key = "asdfuasodijfoausfnasdf"
ctime = str(time.time())
new_key = "%s|%s" %(key,ctime,) # asdfuasodijfoausfnasdf|时间戳
md5_str = md5(new_key)
# 6f800b6a11d3f9c08c77ef8f77b2d460  # asdfuasodijfoausfnasdf|时间戳
auth_header_val = "%s|%s" %(md5_str,ctime,) # 6f800b6a11d3f9c08c77ef8f77b2d460|时间戳
print(auth_header_val)




response = requests.get('http://127.0.0.1:8000/api/test.html',headers={'auth-api':auth_header_val})
print(response.text)

server

def md5(arg):
    hs = hashlib.md5()
    hs.update(arg.encode('utf-8'))
    return hs.hexdigest()

key = "asdfuasodijfoausfnasdf"
# redis,Memcache
visited_keys = {
    # "841770f74ef3b7867d90be37c5b4adfc":时间,  10
}

def api_auth(func):
    def inner(request,*args,**kwargs):
        server_float_ctime = time.time()
        auth_header_val = request.META.get('HTTP_AUTH_API')
        # 841770f74ef3b7867d90be37c5b4adfc|1506571253.9937866
        client_md5_str, client_ctime = auth_header_val.split('|', maxsplit=1)
        client_float_ctime = float(client_ctime)

        # 第一关 时效性验证
        if (client_float_ctime + 20) < server_float_ctime:
            return HttpResponse('时间太久了,再去买一个吧')

        # 第二关: 加密规则
        server_md5_str = md5("%s|%s" % (key, client_ctime,))
        if server_md5_str != client_md5_str:
            return HttpResponse('休想')

        # 第三关: 是否已使用密文
        if visited_keys.get(client_md5_str):
            return HttpResponse('你放弃吧,来晚了')

        visited_keys[client_md5_str] = client_float_ctime
        return func(request,*args,**kwargs)

    return inner


@api_auth
def test(request):
    return HttpResponse('正常用户')







defending
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用接口开放平台设计与实现——(4)API服务之数据验证
学海无涯,行者无疆
02-14 905
上篇介绍了使用职责链模式实现了API服务的框架设计与实现,并定义了一个简单的数据验证过滤器ValidateDataFilter来做测试,今天我们把数据验证功能给实现了。。为保证系统的稳定可靠运行,必须对输入的数据进行严格验证,防止一些非法的异常数据引发系统后续处理流程出错甚至崩溃。同时,对于验证失败的情况,需要输出明确的、友好的错误信息,以便对接方开发和调试,以及上线后运行异常排查。数据验证实际分为两大类工作,一类是基本的数据验证,主要是验证输入参数是否为空等;
API认证
OUCE2020的博客
01-02 2508
API是美国石油协会(American Petroleum Institute)的英文缩写,创于1919年,是美国第一家商业级的商业学会,也是全世界范围内最早、最成功的制定标准的商会之一。随着石油工业的发展,石油设备厂家日益增多,油田对设备的标准性和安全性的要求也日益提高,于是1923年在API内成立第一个群众性行业的标准化机构标准化部,后译名为生产部(API Production Departm...
如何进行安全可靠的API身份验证
小新的博客
03-28 2147
在开发安全的 REST API 时,身份验证是必不可少的。你可以将你的应用程序想象成一个聚会,那么身份验证就像一扇门,决定哪些客人可以进入——或者更准确地说,哪些求可以进出。接下来我将介绍四种常用的身份验证方法,包括API密钥、OAuth 2.0、HTTP身份验证方案和JWT身份验证。我们将逐一深入探讨这些技术,以确保我们的虚拟“派对”运行时具有足够的安全性。
API身份验证和授权介绍
weixin_42646630的博客
04-15 1万+
一、前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, 授权: 允许的动作 API可能会对您进行身份验证,但未授权您发出特定的API缺乏安全性的后果 为什么API需要身份验证API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意求等。 二、API Key
API的认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5165
服务开发干活,API的认证方法总结
api接口安全验证(sign签名和token验证
yifan_lion的博客
03-30 1万+
api接口安全类型 api接口安全类型一般有以下几种类型(不完全): 防止参数篡改,使用url签名方式 防止未授权用户访问,使用用户token验证 防止未授权应用访问或者爬虫,使用appid,appsecret来保证求授权访问 防止dos攻击浪费资源,使用时间戳timestamp 防止信息泄露,使用https安全访问 防止重放 ...
API验证数字签名
05-09
在“用API验证数字签名”这个任务中,我们需要的是一个能够处理数字签名验证API。JEDI API Library是一个开源的项目,提供了多种API接口,包括可能用于数字签名验证的函数。 JEDI API Library可以从SourceForge...
WebApi验证JWT Demo
最新发布
07-23
WebApi验证JWT Demo
C# 赛邮接口短信API验证demo
01-06
C# 赛邮接口短信API验证demo 需要准备API文档里的相关资料还有Submail库和Newtonsoft.Josn库 根据API文档创建相关的类对象 以上代码都不难的根据API文档写就好啦 看不懂的私聊我QQ2773938492 以下是主窗体的调用...
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
串口api 校验位正确
11-01
可以正常使用不会出现校验位设置错误,这个api是反编译serialport类改正的。
API效验
05-18 163
API效验 客户端 import hashlib import time import requests def get_hosts(): # 这里要获取未收集信息的服务器(get 求要 API验证,并不是所有人进行求都可以) ''' hashlib值: token|time 进行hash 发送格式: hashlib值| ctime ''' ...
分享api接口验证模块
weixin_30721899的博客
12-26 216
一.前言   权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究。有时候我们也会用一些开源的权限验证框架,不过能自己实现一遍就更好,自己开发的东西成就感(逼格)会更高一些。进入主题,本篇主要是介绍接口端的权限验证,这个部分每个项目都会用到,所以最好就是也把它插件化,放在Common中,新的项目...
HTML5输入验证API
weixin_34315189的博客
09-02 76
这些东西都要放在form里写用submit button提交才可以作用 required属性  1 <form> 2 <input type="text" name="username"/> 3 <input type="submit" /> 4 </form> 5 &...
api 校验方式
qq_41993287的博客
05-22 713
headers = { 'X-APP-KEY': access_key, 'X-MSG-ID': '{0},{1}'.format(随机id, 过期时间), 'X-CMD': cmd, } # 两种方式 校验都可以 headers['X-TOKEN'] = access_token + [sk, token, 随机id, token过期时间] headers['X-AUTH'] = [sk, 随机id, 过期时间] * 以上都是Request Headers 1.首先后端定.
api校验原理图解
勿忘初心
05-25 1392
php的api接口在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证验证原理示意图原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的...
开放API接口签名验证,让你的接口从此不再裸奔
热门推荐
只有那些疯狂到认为自己可以改变世界的人,才可以真的改变世界
02-03 4万+
接口安全问题 求身份是否合法? 求参数是否被篡改? 求是否唯一? AccessKey&SecretKey (开放平台) 求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照求参数名的字母升序排列非空求参数(包含AccessKey),使
web api 验证验证什么内容 细说
03-29
Web API 验证是指在调用 Web API 时对用户身份进行验证的过程。其目的是确保只有授权的用户可以访问和使用 API,从而保证数据的安全性和完整性。 Web API 验证可以验证以下内容: 1. 用户身份验证验证用户的身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值