API接口安全

已于 2023-04-09 11:15:47 修改
阅读量662 收藏 4
点赞数
分类专栏: 安全 文章标签: 接口安全 安全 token token安全
于 2021-04-19 22:30:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_learning/article/details/115875148
版权

token被劫持,DOS攻击,重复提交等,接口安全尤为重要,接口安全主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用。

Token授权

token是客户端访问服务端的凭证。用户通过账号密码登录后,服务器返回token给客户端,并存储在缓存中,服务器接受到请求后进行token验证,如果token不存在说明未登录,

时间戳超时

时间戳超时机制是防御DOS攻击的有效手段。每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5秒钟),则认为该请求失效。

签名

签名机制保证了数据不会被篡改。将Token和时间戳加上其他请求参数再用MD5或其他算法加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一致,说明参数被更改过,直接返回错误。

IP限制

通过IP解密,防止token被截取后在别的网络环境发出请求,在服务器通过请求ip与这个ip必须一致才能解密

拒绝重复调用

客户端第一次访问时,将签名sign存放到缓存中,超时时间设定为5秒,则5秒内只能访问一次。如果使用同一个URL再次访问,发现缓存中已经存在了本次签名,则拒绝服务。
在这里插入图片描述

  1. 客户端通过用户名密码登录服务器并获取Token
import com.example.user.cache.CacheUtil;
import com.example.user.result.Result;
import org.springframework.web.bind.annotation.*;

import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

@RestController
public class UserController {

    @GetMapping("login")
    public Result login(@RequestParam String username, @RequestParam String password){
        String token = null;
        if("zhangshan".equals(username) && "123456".equals(password)){
            token = UUID.randomUUID().toString().replaceAll("-","");
            CacheUtil.newNoCache().put(token,username);
        }
        return Result.success(token);
    }
    
	@GetMapping("users/{id}")
    public Result users(@PathVariable String id){
        Map user = new HashMap();
        if("1".equals(id)){
            user.put("username","zhangsan");
            user.put("password","123456");
            user.put("sex","man");
        }
        return Result.success(user);
    }
}

  1. 客户端生成时间戳timestamp,并将timestamp作为其中一个参数

  2. 客户端将Token和timestamp按照自己的算法(这里使用MD5)进行排序加密得到签名sign

  3. 将token、timestamp和sign作为请求时必须携带的参数加在每个请求的URL后边(http://localhost/users/1?token=334d1e48834b494daef3657dfac47af7&timestamp=1618815569248&sign=30819c9c1504795b74a198e0f35b3789)

  4. 服务端写一个过滤器对token、timestamp和sign进行验证,只有在token有效、timestamp未超时、缓存服务器中不存在sign三种情况同时满足,本次请求才有效

import com.alibaba.fastjson.JSON;
import com.example.user.cache.CacheUtil;
import com.example.user.crypto.SignUtil;
import com.example.user.result.CodeMsg;
import com.example.user.result.Result;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.OutputStream;

/**
 * 登录过滤器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getParameter("token");
        String timestamp = request.getParameter("timestamp");
        String sign = request.getParameter("sign");
        String uri = request.getRequestURI();
        if(null == token || null == timestamp || null == sign){
            render(response,CodeMsg.UNAUTHORIZED);
            return false;
        }
        //验证token
        if(null == CacheUtil.newNoCache().get(token)){
            render(response,CodeMsg.TOKEN_ERROR);
            return false;
        }
        //校验超时
        long currentTime = System.currentTimeMillis();
        long timeOut = currentTime-Long.valueOf(timestamp);
        if(timeOut > 5000 || timeOut < 0){
            render(response,CodeMsg.REQ_TIMEOUT);
            return false;
        }
        //验证签明
        String data = token+timestamp;
        if(!SignUtil.verify(data, sign)){
            render(response,CodeMsg.SIGN_ERROR);
            return false;
        }
        //防止重复提交
        if(null != CacheUtil.newNoCache().get(token+uri)){
            render(response,CodeMsg.DUPLICATE_SUBMISSION);
            return false;
        }else {
            CacheUtil.newNoCache().put(token+uri,"1",10L);
        }
        return true;
    }

    private void render(HttpServletResponse response, CodeMsg cm) throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        OutputStream out = response.getOutputStream();
        String str  = JSON.toJSONString(Result.codeMsg(cm));
        out.write(str.getBytes("UTF-8"));
        out.flush();
        out.close();
    }
}

注册拦截器

import com.example.user.interceptor.LoginInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Bean
    public LoginInterceptor getLoginInterceptor() {
        return new LoginInterceptor();
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getLoginInterceptor()).addPathPatterns("/users/*");
        super.addInterceptors(registry);
    }

}

简化版签名工具类

import org.springframework.util.DigestUtils;

public class SignUtil {

    /**
     * 签名
     * @param data
     * @return
     */
    public static String sign(String data){
        String signed = DigestUtils.md5DigestAsHex(data.getBytes());
        return signed;
    }

    /**
     * 验证签名
     * @param data  元数据
     * @param signed    签名数据
     * @return
     */
    public static boolean verify(String data,String signed){
        String sign = SignUtil.sign(data);
        return sign.equals(signed);
    }

}

简化版统一返回

public enum CodeMsg {

    SUCCESS(200, "成功"),
    ERROR(500, "服务器异常"),
    UNAUTHORIZED(401,"您还未登录"),
    TOKEN_ERROR(401,"token校验失败"),
    SIGN_ERROR(401,"签名认证失败"),
    REQ_TIMEOUT(403,"请求超时"),
    DUPLICATE_SUBMISSION(403,"重复提交");

    private int code;

    private String msg;

    CodeMsg(int code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

}

public class Result<T> {

    private int code;

    private String msg;

    private T data;

    private Result() {
    }

    protected Result(int code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    protected Result(CodeMsg cm) {
        this.code = cm.getCode();
        this.msg = cm.getMsg();
    }

    protected Result(CodeMsg cm, T data) {
        this.code = cm.getCode();
        this.msg = cm.getMsg();
        this.data = data;
    }

    public static <T> Result success(T data) {
        return new Result(CodeMsg.SUCCESS, data);
    }

    public static Result codeMsg(CodeMsg cm) {
        return new Result(cm);
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

    public T getData() {
        return data;
    }

    public void setData(T data) {
        this.data = data;
    }
}
l_learning
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
接口安全(一)
qq_42080759的博客
11-14 3367
一、请求的截获与篡改 1.隐藏域攻击——查看元素中"display":none的即为隐藏域(用户不可见,但会随表单一起提交) 可以直接在elements中修改,删去 "display":none 页面上就能看见之前隐藏的元素了(但是一刷新就会又全部显示出来) 例如下单页面将“会员优惠”做成隐藏域,用户自己打开并输入金额后,在后端没有校验的情况下就较少了支付的金额。 避免的方式:1.在可以动态生成元素的情况下,不使用隐藏域提前创建元素;2.在提交表单时,使用js对隐藏域的值做判断 3.对于关键参数
关于接口安全
奇葩也是花
08-22 611
<?php header('content-type:text/html;charset=utf-8'); class DES { /** * DES加密 (需要打开php.ini的extension=php_mcrypt.dll) * @param string $input * @param string $key * @return str
接口安全
yuanrao的博客
07-25 464
 * 关于接口安全:  * ####################################################################################################  *      1、加密 【非对称加密 RSA ,对称加密 DES 3DES AES】 -- 不明文传数据,安全性会更高  *              对称加密和非对称...
API 接口安全处理
API
03-16 9377
背景 开放 API 接口如果没有经过安全处理,则很容易出现三类安全问题,包括信息截获、篡改与泄露。 首先是用户密码容易被截获,比如某家公司在开发开放式 API 时,没有对其进行安全控制,那么该公司的客户信息很容易被黑客截获,黑客在掌握客户的用户名、密码等相关信息与资料后,便能够利用客户的身份来登录,使得客户的隐私信息泄露,黑客便可以轻易地盗刷客户信用卡,使得客户承受损伤;其次是表单数据很容易被篡改,比如某家公司所开发的开放 API 并没有进行过防篡改控制,有客户在购买1000 元产品后,其提交表单被黑客利用
api 接口安全
qq_39548647的博客
08-30 349
一、概念 1. 系统参数 不同于业务参数,系统参数是无论如何都要传递给后端的参数。传递时,不与业务参数混在一起,而是在请求header中传输。 2. 秘钥 后端会为每个第三方/调用方设置一个秘钥,需要保密,只有后端代码与第三方/调用方自己知道。该秘钥用于在调用接口前,生成签名,后端在收到请求后,验证签名。 3. 签名 签名由前端生成,并在请求header中传输给后端。只有在前端生成的签名通过了后端的验证后,该请求才算有效。 二、前端 1. 系统参数 系统参数,即为“与业务无关”
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
api接口安全
chensli的博客
11-29 469
Api接口安全 Api接口可以分两种一种是需要登录才能获取数据,使用的是token 使用jwt加密技术加密用户信息,设置token的过期时间一般是2个小时,提高token安全性,然后把token返回给客户端,客户端可以将token存入localstorage或者cookie中,cookie和localstorage的区别是cookie只能存4k的数据,localstarage能存5m,cook...
漫谈Java语言的接口与类型安全
键者天行
10-26 6249
  接口是实现构件可插入性的关键,可插入构件的关键在于存在一个公用的接口,以及每个构件实现了这个接口。   什么是接口?  Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。  接口的两种含义:一,Java接口,Java语言中存在的结构,有特定的语法和结构;二,一个类所具
接口测试基本安全
angel192939的博客
01-25 577
一、后台接口分类 1、接口类别:restful(json) soap(xml) 2、协议 :http https(ssl) 3、restful接口请求类型 get操作是安全的 post的操作是不安全的 同put delete也是不安全的 4、现状和问题 大部分APP的接口都采用restful架构,restful最重要的一个设计原则就是客户端与服务...
浅谈API接口中的安全
qq_42011355的博客
10-14 1865
前言 在我们平时进行前后端分离项目开发和调用外部功能时,都会使用API接口形式与服务器进行数据通信,而对于网页或者app,只要通过抓包就可以清楚的知道这个请求获取到的数据,数据充满着被盗用、伪造的风险,所以如何保证API调用时数据的安全性是个非常重要的问题。 通常的解决方案有: 1、通信使用https 2、请求签名,防止参数被篡改 3、时间戳超时机制 4、防重放,防止接口被第二次请求,防采集 一、通信使用HTTPS 为了解决在使用HTTP时出现这种情况:用户注册的请求在到达服务器之前,就已经被人截获了,用户
接口安全
weixin_37946518的博客
08-15 230
敏感数据不允许输出在开放接口中,尽量重新设置字段,混浊数据库表字段,如:微信支付appid,secret等参数 用户后台数据提交时,必需检查enterpriseId是否是同一个公司 检查前端提交数据是否经 xss过滤 添加session key + 验证码 防止csrf攻击 简单的说一下,开发一个APP,需要考虑以下几个方面,不然如果接口暴露到公网,危险非常大。 请求合法性校验,考虑采用to...
开放的api接口安全问题
最新发布
07-27
开放的API接口安全问题是一个重要的考虑因素。身份验证是确保API安全的一种方法。通过身份验证,可以限制或删除滥用API的使用者,并保护他们的安全。对于开放的API,即使是免费的API,也应该考虑采用身份验证策略以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值