接口安全处理

最新推荐文章于 2024-04-21 10:51:09 发布
最新推荐文章于 2024-04-21 10:51:09 发布
阅读量927 收藏 7
点赞数 4
分类专栏: 拓展 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56287495/article/details/129974026
版权

一、为什么要保证接口安全

在我们日常开发中,存在一些接口是敏感且重要的,比如充值接口,如果在你调用充值接口的时候被别人抓包了,然后就可以修改充值的金额,本来充值10元可以改成充值10w,产生重大生产问题,再或者说被被人抓包了,别人可以不限制的调用该充值10元的接口,调用几万次,也是会导致重大问题,那么我们该如何保证接口安全呢?

二、接口安全的几种方式

  • 数据参数合法性校验

接口数据的安全性保证,还需要我们的系统,有个数据合法性校验,简单来说就是参数校验,比如身份证长度,手机号长度,是否是数字等等

  • token授权认证方式

一般我们系统都会使用token鉴权登陆校验用户登陆状态和用户权限,访问接口前先校验token的合法性

在这里插入图片描述

  • 数据加密,防止报文明文传输

说到数据加密,我们不难想到使用HTTPS进行传输,HTTPS使用了RSA和AES加密的方式保证了数据传输中的安全问题,具体的HTTPS的加密原理,请看HTTPS原理

数据在传输过程中被加密了,理论上,即使被抓包,数据也不会被篡改。但是https不是绝对安全的哦。还有一个点:https加密的部分只是在外网,然后有很多服务是内网相互跳转的,签名验证也可以在这里保证不被中间人篡改,所以一般转账类安全性要求高的接口开发,都需要加签验签

  • 签名验证

https虽然保证了在外网上数据不会被篡改,但是不能保证在内网中数据篡改的风险,所以需要有签名验证的环节

  1. 客户端把参数以特定顺序进行md5加密形成签名sign,一并同参数传递到服务端
  2. 服务端接收到签名和参数,也以一定的顺序对参数进行md5加密,对比传递来的sign判断是否是否被篡改

这样做的好处就是,在数据传输过程中,可以保证数据不会被篡改,如果篡改了的话sign就会不一致,验证不通过

但是这仅仅只是解决了篡改问题,那如果我拿到请求后不修改参数,原样数据多次调用,还是会产生问题,这时候就需要增加防重放功能

  • timestamp+nonce方案防止重放攻击
  1. timestamp是时间戳超时机制,当一个请求超过该时间后,则认定为该请求失效,需要重新发送请求,默认60s,但是如果在60s内多次调用岂不是也会导致问题?
  2. 通常来说,从抓包到重放的时间绝对不止60s,为了避免此类问题发生,我们可以在客户端发送请求的时候随机产生一个nonce随机数
  3. nonce令牌是一个随机数,每次请求后都会存入redis,过期时间60s,这样就没个请求只能请求一次,避免了多次调用的问题
  • 白名单黑名单

三、防重放和防篡改拦截器

这里我们使用timestamp+nonce+sign对接口进行安全处理

在这里插入图片描述

1. 构建请求头
@Data
@Builder
public class RequestHeader {

    /**
     * 签名
     */
    private String sign;
    /**
     * 时间戳
     */
    private Long timestamp;
    /**
     * 临时的数据
     */
    private String nonce;

}
2. 保存请求流对象
public class SignRequestWrapper extends HttpServletRequestWrapper {
    //用于将流保存下来
    private byte[] requestBody = null;

    public SignRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        requestBody = StreamUtils.copyToByteArray(request.getInputStream());
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }
}
3. 创建请求数据处理工具
@Slf4j
public class HttpDataUtil {
    /**
     * post请求处理:获取 Body 参数,转换为SortedMap
     *
     * @param request
     */
    public static SortedMap<String, String> getBodyParams(final HttpServletRequest request) throws IOException {
        byte[] requestBody = StreamUtils.copyToByteArray(request.getInputStream());
        String body = new String(requestBody);
        return JsonUtils.parseObject(body, SortedMap.class);
    }


    /**
     * get请求处理:将URL请求参数转换成SortedMap
     */
    public static SortedMap<String, String> getUrlParams(HttpServletRequest request) {
        String param = "";
        SortedMap<String, String> result = new TreeMap<>();

        if (StringUtils.isEmpty(request.getQueryString())) {
            return result;
        }

        try {
            param = URLDecoder.decode(request.getQueryString(), "utf-8");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }

        String[] params = param.split("&");
        for (String s : params) {
            String[] array = s.split("=");
            result.put(array[0], array[1]);
        }
        return result;
    }
}
4. 签名验证工具
@Slf4j
public class SignUtil {

    /**
     * 验证签名
     * 验证算法:把timestamp + JsonUtil.object2Json(SortedMap)合成字符串,然后MD5
     */
    @SneakyThrows
    public static boolean verifySign(SortedMap<String, String> map, RequestHeader requestHeader) {
        String params = requestHeader.getNonce() + requestHeader.getTimestamp() + JsonUtils.toJsonString(map);
        return verifySign(params, requestHeader);
    }

    /**
     * 验证签名
     */
    public static boolean verifySign(String params, RequestHeader requestHeader) {
        log.debug("客户端签名: {}", requestHeader.getSign());
        if (StringUtils.isEmpty(params)) {
            return false;
        }
        log.info("客户端上传内容: {}", params);
        String paramsSign = DigestUtils.md5DigestAsHex(params.getBytes()).toUpperCase();
        log.info("客户端上传内容加密后的签名结果: {}", paramsSign);
        return requestHeader.getSign().equals(paramsSign);
    }

}
5. 创建拦截器SignFilter
@Slf4j
public class SignFilter implements Filter {

    private static final Long signMaxTime = 60L;

    private static final String NONCE_KEY = "x-nonce-";

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        log.info("过滤URL:{}", httpRequest.getRequestURI());

        //request数据流只能读取一次,这里保存request流
        HttpServletRequestWrapper requestWrapper = new SignRequestWrapper(httpRequest);

        //构建请求头
        String nonceHeader = httpRequest.getHeader("X-Nonce");
        String timeHeader = httpRequest.getHeader("X-Time");
        String signHeader = httpRequest.getHeader("X-Sign");

        //验证请求头是否存在
        if (StringUtils.isEmpty(nonceHeader) || ObjectUtils.isEmpty(timeHeader) || StringUtils.isEmpty(signHeader)) {
            throw new RuntimeException("请求头不存在");
        }

        RequestHeader requestHeader = RequestHeader.builder()
                .nonce(httpRequest.getHeader("X-Nonce"))
                .timestamp(Long.parseLong(httpRequest.getHeader("X-Time")))
                .sign(httpRequest.getHeader("X-Sign")).build();
        /*
         * 1.验证签名是否过期,防止重放
         * 判断timestamp时间戳与当前时间是否操过60s(过期时间根据业务情况设置),如果超过了就提示签名过期。
         */
        long now = System.currentTimeMillis() / 1000;
        if (now - requestHeader.getTimestamp() > signMaxTime) {
            throw new RuntimeException("签名过期");
        }

        //2. 判断nonce,是否重复发送
        boolean nonceExists = RedisUtils.hasKey(NONCE_KEY + requestHeader.getNonce());
        if (nonceExists) {
            //请求重复
            throw new RuntimeException("请求重复");
        } else {
            RedisUtils.set(NONCE_KEY + requestHeader.getNonce(), requestHeader.getNonce(), signMaxTime);
        }

        // 3. 验证签名,防止篡改
        boolean accept;
        SortedMap<String, String> paramMap;
        switch (httpRequest.getMethod()) {
            case "GET":
                paramMap = HttpDataUtil.getUrlParams(requestWrapper);
                accept = SignUtil.verifySign(paramMap, requestHeader);
                break;
            case "POST":
                paramMap = HttpDataUtil.getBodyParams(requestWrapper);
                accept = SignUtil.verifySign(paramMap, requestHeader);
                break;
            default:
                accept = true;
                break;
        }
        if (accept) {
            filterChain.doFilter(requestWrapper, servletResponse);
        } else {
            throw new RuntimeException("签名有误,请重新请求");
        }

    }

}
6. 配置拦截器
@Configuration
public class SignFilterConfiguration {

    @Bean
    public FilterRegistrationBean contextFilterRegistrationBean() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new SignFilter());
        registration.addUrlPatterns("/sign/*");
        registration.setName("SignFilter");
        // 设置过滤器被调用的顺序
        registration.setOrder(1);
        return registration;
    }

}
7. 测试
@RequestMapping("")
@RestController
public class SignDemoController {

    @PostMapping("/sign/demo1")
    public R demo1(@RequestBody DemoDto demoDto) {
        System.out.println("===执行了demo1");
        return R.ok();
    }

    @GetMapping("/demo2")
    public R demo2() {
        System.out.println("执行了demo2====");
        return R.ok();
    }

}

@Data
class DemoDto {
    private Integer age;

    private String username;

    private Long id;
}

{
  "age": 11,
  "username": "zhangsan",
  "id": 1
}

在这里插入图片描述
在这里插入图片描述

一零贰肆
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security实现不同接口安全策略方法详解
09-07
通过创建多个`WebSecurityConfigurerAdapter`子类,结合`HttpSecurity`的配置方法,可以轻松地处理JWT和Session两种不同类型的接口安全。同时,还能对登录方式、角色权限、异常处理等进行深度定制,以满足复杂应用的...
接口测试-04课-Jsonpath断言、接口关联及加密处理
最新发布
05-28
接口测试中,确保数据的正确性和安全性是至关重要的步骤。本课程主要涵盖了三个关键知识点:Jsonpath断言、接口关联以及加密处理。这都是现代API测试中的核心技能,让我们逐一深入探讨。 首先,Jsonpath断言是...
服务器接口安全校验限流处理方案(java版)
weixin_43401380的博客
02-14 1038
java实战介绍如何实现服务端接口授权校验、ip限制、限流等安全校验。
接口安全性以及解决方案
只为成功找方法 不为失败找借口
05-22 706
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
Java API接口设计的安全实践:从零开始深度解析
java专栏
04-21 329
API(Application Programming Interface)是一组预定义的方法和规则,允许不同的软件组件之间进行交互。在Java中,通常通过定义类、接口和方法来构建API。安全的API设计旨在确保接口在被外部调用时,既能满足功能需求,又能防止潜在的安全威胁。通过以上步骤,我们从零开始构建了一个深度解析的安全Java API框架,涵盖了接口设计、安全逻辑实现、身份验证与授权、输入验证、错误处理等多个关键环节。遵循这些实践,您可以确保所设计的API接口既满足功能需求,又具备良好的安全防护能力。
Java 对外接口开发安全如何避免
Shenshaoqiu的博客
11-28 6099
Java 对外接口开发安全如何处理 Java 对外接口开发安全如何处理,之前用的是http post提交 结果安全性还是没保障; ------解决思路---------------------- 如果可能,用些单点登录框架,不能的话,双方约定好认证方式,加解密方式等等 ------解决思路---------------------- 1.参照约定好的加解密方式传送数据 2.使用ht
服务老是被攻击,如何设计一套比较安全接口访问策略?
lisheng19870305的专栏
07-28 632
大家好,我是老王,最近接手了一个项目,兴致勃勃的准备大干一场,结果一顿渗透测试下来我都快傻了。什么防重放攻击,请求体篡改,越权攻击,都整上来了,好嘛,我都不清楚这个项目这半年是怎么度过的。不知道大家公司对接口安全这块是怎么考量的,但是对于面向公网提供服务的产品来说,这个可以说是很致命的了。那么,该如何设计一套比较安全接口访问策略呢?...
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 2333
springboot服务第三方接口安全签名(Signature)实现方案
【Java项目】解决请求路径上明文ID传输导致可能被攻击的方法
Zhangsama1的博客
06-30 970
解决请求路径上密文ID传输导致可能被攻击的方法
汽车诊断接口信息安全技术要求
01-09
主要章节包括诊断接口信息安全架构、诊断接口信息安全身份认证和权限控制技术要求、诊断接入端信息安全技术要求、诊断准入端信息安全技术要求、控制器信息安全要求、诊断接口物理连接要求、诊断接口通讯总线要求、...
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
总结起来,预防黑客攻击WEB API接口,需要从认证授权、输入验证、安全通信、限速控制、错误处理、更新维护、版本管理和日志监控等多个方面进行全面考虑。通过实施这些措施,我们可以极大地提高API的安全性,保护用户...
Java语言的接口与类型安全
01-20
接口是实现构件可插入性的关键,可插入构件的关键在于存在一个公用的接口,以及每个构件实现了这个接口。   什么是接口?   Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。   接口的两种含义:一,Java接口,Java语言中存在的结构,有特定的语法和结构;二,一个类所具有的方法的特征集合,是一种逻辑上的抽象。前者叫做“Java接口”,后者叫做“接口”。   在Java语言规范中,一个方法的特征仅包括方法的名字,参数的数目和种类,而不包括方法的返回类型,参数的名字以及
纯java调用ws-security+CXF实现的webservice安全接口
08-31
纯java调用ws-security+CXF实现的webservice安全接口
完整的接口调用实例,包括请求类、返回实体类、接口调用、接口处理文件
08-25
接口处理文件负责对请求进行预处理(如验证、参数填充等)和对响应进行后处理(如解析、异常处理等)。在C#中,可以使用中间件(Middleware)或者自定义委托来实现这些功能。中间件通常应用于ASP.NET Core框架中,...
语音验证码API接口
02-23
语音验证码API接口是一种用于身份验证的安全机制,它允许应用程序通过电话或网络向用户播放一段随机生成的语音消息,用户需要听取这段语音并输入接收到的验证码来完成验证过程。这种技术广泛应用于移动应用、网站...
海康Api接口
01-16
在Java环境中调用这些接口,可以实现对海康设备的远程控制、视频流处理、报警管理等众多功能。下面将详细介绍如何利用Java调用海康设备的接口,以及相关文档和平台案例。 首先,`artemis-http-client说明文档.pdf`...
JAVA -- sm3加密签名,以及防止重复攻击
DGH2430284817的博客
06-30 7894
sm3加密,防止重复请求攻击
java 接口安全性_java如何保证接口安全
weixin_36336256的博客
02-16 3900
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢,下面我们一起来了解一下java如何保证接口安全性。希望看完后对你有所帮助。1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/...
接口安全性考虑
weixin_38923162的博客
03-09 5382
接口安全
开放的api接口安全问题
07-27
开放的API接口安全问题是一个重要的考虑因素。身份验证是确保API安全的一种方法。通过身份验证,可以限制或删除滥用API的使用者,并保护他们的安全。对于开放的API,即使是免费的API,也应该考虑采用身份验证策略以确保安全性。\[1\] 在API接口传输过程中,加密和签名也是保证安全性的重要手段。加密可以使用对称加密和非对称加密两种方式。对称加密使用相同的密钥进行加密和解密,效率高但密钥管理和分配较为复杂。非对称加密使用一对密钥,公钥和私钥,公钥可以发给任何请求者,而私钥只能由一方安全保管。非对称加密提供了更高的安全性,常用的算法是RSA算法。\[2\] 除了加密,接口传输还可以使用签名来确保数据的完整性和真实性。签名是对数据进行加密的过程,接收方可以通过验证签名来确认数据的完整性和真实性。签名可以使用MD5等混淆算法来实现。\[2\] 综上所述,开放的API接口安全问题可以通过身份验证、加密和签名等措施来解决。这些措施可以保护API的安全性,防止滥用和数据泄露等问题。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [开放式API安全防护的七大原则](https://blog.csdn.net/zhanghuan0126/article/details/112856246)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [开放API接口安全处理](https://blog.csdn.net/banliao3463/article/details/101663491)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [开放平台API接口加密,签名策略](https://blog.csdn.net/weixin_42212026/article/details/84538971)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值