如何写出安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)

最新推荐文章于 2021-07-01 18:51:58 发布
最新推荐文章于 2021-07-01 18:51:58 发布
阅读量986 收藏 4
点赞数
文章标签: 测试 数据库
原文链接:http://www.cnblogs.com/codeon/p/6123863.html
版权

上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。

通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出。

对于安全也是相对的,下面我来根据安全级别分析

 

1.完全开放的接口

有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。

实话说,这样的接口我们天天都在接触,你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口。

我把这称之为裸奔时代。代码如下:

/// <summary>
        /// 接口对外公开
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Route("NoSecure")]
        public HttpResponseMessage NoSecure(int age)
        {
            var result = new ResultModel<object>()
            {
                ReturnCode = 0,
                Message = string.Empty,
                Result = string.Empty
            };

            var dataResult = stulist.Where(T => T.Age == age).ToList();
            result.Result = dataResult;

            return GetHttpResponseMessage(result);
        }
View Code

 

2.接口参数加密(基础加密)

 你写个接口,你只想让特定的调用方使用,你把这些调用的人叫到一个小屋子,给他们宣布说我这里有个接口只打算给你们用,我给你们每人一把钥匙,你们用的时候拿着这把钥匙即可。

这把钥匙就是我上文说到的参数加密规则,有了这个规则就能调用。

这有安全问题啊,这里面的某个成员如果哪个不小心丢了钥匙或者被人窃取,掌握钥匙的人是不是也可以来掉用接口了呢?而且他可以复制很多钥匙给不明不白的人用。

相当于有人拿到了你的请求链接,如果业务没有对链接唯一性做判断(实际上业务逻辑通常不会把每次请求的加密签名记录下来,所以不会做唯一性判断),就会被重复调用,有一定安全漏洞,怎么破?先看这个场景的代码,然后继续往下看!

/// <summary>
        /// 接口加密
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Route("SecureBySign")]
        public HttpResponseMessage SecureBySign([FromUri]int age, long _timestamp, string appKey, string _sign)
        {
            var result = new ResultModel<object>()
            {
                ReturnCode = 0,
                Message = string.Empty,
                Result = string.Empty
            };

            #region 校验签名是否合法
            var param = new SortedDictionary<string, string>(new AsciiComparer());
            param.Add("age", age.ToString());
            param.Add("appKey", appKey);
            param.Add("_timestamp", _timestamp.ToString());

            string currentSign = SignHelper.GetSign(param, appKey);

            if (_sign != currentSign)
            {
                result.ReturnCode = -2;
                result.Message = "签名不合法";
                return GetHttpResponseMessage(result);
            }
            #endregion

            var dataResult = stulist.Where(T => T.Age == age).ToList();
            result.Result = dataResult;

            return GetHttpResponseMessage(result);
        }
View Code

 

3.接口参数加密+接口时效性验证(一般达到这个级别已经非常安全了)

继上一步,你发现有不明不白的人调用你的接口,你很不爽,随即把真正需要调用接口的人又叫来,告诉他们每天给他们换一把钥匙。和往常一样,有个别伙伴的钥匙被小偷偷走了,小偷煞费苦心,经过数天的踩点观察,准备在一个月黑风高的夜晚动手。拿出钥匙,捣鼓了半天也无法开启你的神圣之门,因为小偷不知道你天天都在换新钥匙。

小偷不服,经过一段时间琢磨,小偷发现了你们换钥匙的规律。在一次获得钥匙之后,不加思索,当天就动手了,因为他知道他手里的钥匙在第二天你更换钥匙后就失效了。

结果,小偷如愿。怎么破?先看这个场景的代码,然后继续往下看!

/// <summary>
        /// 接口加密并根据时间戳判断有效性
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Route("SecureBySign/Expired")]
        public HttpResponseMessage SecureBySign_Expired([FromUri]int age, long _timestamp, string appKey, string _sign)
        {
            var result = new ResultModel<object>()
            {
                ReturnCode = 0,
                Message = string.Empty,
                Result = string.Empty
            };

            #region 判断请求是否过期---假设过期时间是20秒
            DateTime requestTime = GetDateTimeByTicks(_timestamp);
            
            if (requestTime.AddSeconds(20) < DateTime.Now)
            {
                result.ReturnCode = -1;
                result.Message = "接口过期";
                return GetHttpResponseMessage(result);
            }
            #endregion

            #region 校验签名是否合法
            var param = new SortedDictionary<string, string>(new AsciiComparer());
            param.Add("age", age.ToString());
            param.Add("appKey", appKey);
            param.Add("_timestamp", _timestamp.ToString());

            string currentSign = SignHelper.GetSign(param, appKey);

            if (_sign != currentSign)
            {
                result.ReturnCode = -2;
                result.Message = "签名不合法";
                return GetHttpResponseMessage(result);
            }
            #endregion

            var dataResult = stulist.Where(T => T.Age == age).ToList();
            result.Result = dataResult;

            return GetHttpResponseMessage(result);
        }
View Code

 

4.接口参数加密+时效性验证+私钥(达到这个级别安全性固若金汤)

 继上一步,你发现道高一尺魔高一丈,仍然有偷盗事情发生。咋办呢?你打算下血本,给每个人配一把钥匙的基础上,再给每个人发个暗号,即使钥匙被小偷弄去了,小偷没有暗号,任然无法如愿。即使小偷真正的如愿,这样也很容易定位是谁的暗号泄漏问题,找到问题根源,只需要给当前这个人换下钥匙就行了,不用大动干戈。

但这个并不是万无一失的,因为钥匙和暗号毕竟还有可能被小偷搞到。代码如下:

/// <summary>
        /// 接口加密并根据时间戳判断有效性而且带着私有key校验
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Route("SecureBySign/Expired/KeySecret")]
        public HttpResponseMessage SecureBySign_Expired_KeySecret([FromUri]int age, long _timestamp, string appKey, string _sign)
        {
            //key集合,这里随便弄两个测试数据
            //如果调用方比较多,需要审核授权,根据一定的规则生成key把这些数据存放在数据库中,如果功能扩展开来,可以针对不同的调用方做不同的功能权限管理
            //在调用接口时动态从库里取,每个调用方在调用时带上他的key,调用方一般把自己的key放到网站配置中
            Dictionary<string, string> keySecretDic = new Dictionary<string, string>();
            keySecretDic.Add("key_zhangsan", "D9U7YY5D7FF2748AED89E90HJ88881E6");//张三的key,
            keySecretDic.Add("key_lisi", "I9O6ZZ3D7FF2748AED89E90ZB7732M9");//李四的key

            var result = new ResultModel<object>()
            {
                ReturnCode = 0,
                Message = string.Empty,
                Result = string.Empty
            };

            #region 判断请求是否过期---假设过期时间是20秒
            DateTime requestTime = GetDateTimeByTicks(_timestamp);

            if (requestTime.AddSeconds(20) < DateTime.Now)
            {
                result.ReturnCode = -1;
                result.Message = "接口过期";
                return GetHttpResponseMessage(result);
            }
            #endregion

            #region 根据appkey获取key值
            string secret = keySecretDic.Where(T => T.Key == appKey).FirstOrDefault().Value;
            #endregion

            #region 校验签名是否合法
            var param = new SortedDictionary<string, string>(new AsciiComparer());
            param.Add("age", age.ToString());
            param.Add("appKey", appKey);

            param.Add("appSecret", secret);//把secret加入进行加密

            param.Add("_timestamp", _timestamp.ToString());

            string currentSign = SignHelper.GetSign(param, appKey);

            if (_sign != currentSign)
            {
                result.ReturnCode = -2;
                result.Message = "签名不合法";
                return GetHttpResponseMessage(result);
            }
            #endregion

            var dataResult = stulist.Where(T => T.Age == age).ToList();
            result.Result = dataResult;

            return GetHttpResponseMessage(result);
        }
View Code

 

5.接口参数加密+时效性验证+私钥+Https(我把这个级别称之为金钟罩,世间最安全莫过于此)

继上一步,我们给传输机制改为Https,这下小偷彻底懵逼了。那么问题来了,Https咋玩儿呢?可以在本地搭个环境,参考此文:http://www.cnblogs.com/naniannayue/archive/2012/11/19/2776948.html

 

另:本文的接口是用的MVC WebAPI写的,完全基于RESTful标准。如对此不是特别了解可以参考此文:http://www.cnblogs.com/landeanfen/p/5501490.html

 

完整demo下载

 

注:demo不能直接运行,需要把两个web项目配置到iis中,api代表接口提供方,他的主域需要配置到business的webconfig中,在浏览器地址栏分别请求business中的各个调用接口方法来实现接口调用。

1、如果想验证参数错误,需要在请求接口时打个断点把接口url取出,篡改url参数,然后在浏览器中模拟请求

2、如果想验证接口超时,需要在请求接口时打个断点把接口url取出,然后等到了超时时间,然后在浏览器中模拟请求

3、如果想验证私钥错误,需要在请求接口时打个断点把接口url取出,然后修改business的私钥配置,然后在浏览器中模拟请求

转载于:https://www.cnblogs.com/codeon/p/6123863.html

dengcu1321
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api验证接口参数加密+时效性验证++Https
07-26
接口参数加密+时效性验证++Https
如何安全API接口参数加密+超时处理+验证+Https
lily747的专栏
12-14 389
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家demo,今天一并放。 对于安全也是相对的,下面我来根据安全级别分析   1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。
PHP开发api接口安全验证
weixin_30768661的博客
05-06 73
php的api接口 在实际工作中,使用PHPapi接口是经常做的,PHP接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证验证原理 示意图 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 时...
API接口开发 dome源码 加密 鉴权验证
11-29
本文将深入探讨如何通过参数加密超时处理验证以及HTTPS协议来实现API接口安全开发,同时提供一个带的Demo——WebApiDemo,它涵盖了四种加密方式。 首先,API接口安全始于参数加密参数加密是为了...
支付接口Demo
10-16
通过这个"支付接口Demo",开发者可以学习到如何在Java环境中搭建一个完整的支付系统,包括接口调用、数据加密、签名验证、异步通知处理等环节。这对于初次接触支付接口开发的程序员来说,是一份非常宝贵的参考资料。...
支付宝开发接口demo
08-11
支付宝开发接口Demo主要展示了如何与支付宝的服务器进行交互,实现各种支付、退款、查询等业务功能。这个Demo通常包括客户端和服务端两部分,其中服务端调用API Java Demo是核心内容,它涉及到的主要知识点有: 1. ...
java 支付宝支付demo
12-14
签名过程通常涉及到加密,Java Demo会展示如何使用对请求参数进行签名,并验证来自支付宝的响应签名。 4. **订单创建**:在支付流程中,首先需要在服务器端创建一个订单,包含商品信息、金额、回调URL等。...
SSH2 实例demo
05-30
9. **配置优化**:SSH2连接的性能可以通过调整各种配置参数进行优化,比如设置超时时间、缓冲区大小等。 通过这个SSH2实例demo,你可以学习如何初始化SSH2连接,建立通道,执行命令,以及进行文件传输。实践中,你...
验证参数
郝林志html5的博客
05-01 425
当创建位置参数,您可以使用所需的标记,表明一个论点必须现在一个shell。另外你可以使用选择迫使一个论点是一组有效的选择:$parser->addArgument('type', array( 'help' => 'The type of node to interact with.', 'required' => true, 'choices' => array('ar
SSH里非对称密及认证中心
中国科学技术大学 龙柏(C/C++学生)
12-22 520
WebMVC+JWT实现API接口鉴权
m0_59765702的博客
07-01 649
Java AOP实现接口API)鉴权为什么需要接口API)鉴权如何实现接口API)鉴权实现方式实现原理接口API)鉴权实现代码 为什么需要接口API)鉴权 如何实现接口API)鉴权 实现方式 实现原理 接口API)鉴权实现代码 ...
api postmain 鉴权_API接口鉴权方法
weixin_39747341的博客
12-18 546
API接口鉴权方法API接口鉴权方法API 使用签名方法(Signature)对接口进行鉴权。每一次请求都需要在请求中包含签名信息, 以验证用户身份。在第一次使用API之前,用户首先需要在目标网站上申请安全凭证,安全凭证包括 SecretId 和 SecretKey, SecretId 是用于标识 API 调用者的身份,SecretKey是用于加密签名字符串和服务器端验证签名字符串的密。Secr...
api postmain 鉴权_API 接口鉴权规范
weixin_39539733的博客
12-18 141
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等)Api 接口鉴权规范-1.0-md5签名Api 登录,采用Auth鉴权方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数:1.Epay-Auth-User-Id 用户Id2.Epay-Auth-Timestamp 请求时客户端时间错,以此设置过期时间3....
关于接口安全 接口防刷 RSA 鉴权 签名 实现
DuTianTian_csdn的博客
07-31 4001
直接贴代码了。客户端使用的YII框架,接口使用的TP5   客户端的公共Common   , 一个调接口的方法   &lt;?php namespace frontend\controllers; use Yii; use yii\web\Controller; use yii\web\Rsa; use yii\web\Response; use yii\filters\VerbFi...
如何安全API接口接口参数加密签名设计思路
热门推荐
dz45693的专栏
12-14 1万+
开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口。                几年以前我认为,我接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simple。但凡部署在广域网的应用程序,随随便便的好多工具可以根据ip或域名扫描应用程序的所有暴露的接口,进而分析参数,注入程序,分分钟被攻击。        
使用springboot一个接口,使用RSA算法生成公+
最新发布
04-19
好的,这个问题我可以回答。您可以使用Java自带的RSA算法库,结合SpringBoot开发一个生成RSA公接口。下面给您提供一个简单的示例代码: ``` import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.NoSuchAlgorithmException; import java.security.interfaces.RSAPrivateKey; import java.security.interfaces.RSAPublicKey; import java.util.HashMap; import java.util.Map; @RestController public class RSAController { @RequestMapping("/generateKeyPair") public Map<String, Object> generateKeyPair() throws NoSuchAlgorithmException { // 生成RSA公 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(1024); KeyPair keyPair = keyPairGenerator.genKeyPair(); RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); // 将公存入Map返回给前端 Map<String, Object> resultMap = new HashMap<>(2); resultMap.put("publicKey", publicKey.getEncoded()); resultMap.put("privateKey", privateKey.getEncoded()); return resultMap; } } ``` 以上代码中,我们使用了Java自带的KeyPairGenerator和RSA算法库生成了一对公,并将它们存入了一个Map中,最后通过SpringBoot的RestController返回给前端。您可以根据实际需要进行更详细的定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值