API接口的安全设计验证：ticket，签名，时间戳

概述

与前端对接的API接口，如果被第三方抓包并进行恶意篡改参数，可能会导致数据泄露，甚至会被篡改数据，我主要围绕时间戳，token，签名三个部分来保证API接口的安全性

![在这里插入图片描述](https://img-
blog.csdnimg.cn/c00ee6ca149e4dd8b10de21efed54c7f.png?x-oss-
process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlamp1bmxpbg==,size_16,color_FFFFFF,t_70)

1.用户成功登陆站点后，服务器会返回一个token，用户的任何操作都必须带了这个参数，可以将这个参数直接放到header里。

2.客户端用需要发送的参数和token生成一个签名sign，作为参数一起发送给服务端，服务端在用同样的方法生成sign进行检查是否被篡改。

3.但这依然存在问题，可能会被进行恶意无限制访问，这时我们需要引入一个时间戳参数，如果超时即是无效的。

4.服务端需要对token，签名，时间戳进行验证，只有token有效，时间戳未超时，签名有效才能被放行。

开放接口

没有进行任何限制，简单粗暴的访问方式，这样的接口方式一般在开放的应用平台，查天气，查快递，只要你输入正确对应的参数调用，即可获取到自己需要的信息，我们可以任意修改参数值。

/*

• Description: 开放的接口

• @author huangweicheng

• @date 2020/12/21

*/

@RestController

@RequestMapping(“/token”)

public class TokenSignController {

@Autowired

private TokenSignService tokenSignService;

@RequestMapping(value = “openDemo”,method = RequestMethod.GET)

public List openDemo(int personId){

return tokenSignService.getPersonList(personId);

}

}

Token认证获取

用户登录成功后，会获取一个ticket值，接下去任何接口的访问都需要这个参数。我们把它放置在redis内，有效期为10分钟，在ticket即将超时，无感知续命。延长使用时间，如果用户在一段时间内没进行任何操作，就需要重新登录系统。扩展：记一次token安全认证的实践

@RequestMapping(value = “login”,method = RequestMethod.POST)

public JSONObject login(@NotNull String username, @NotNull String password){

return tokenSignService.login(username,password);

}

登录操作，查看是否有这个用户，用户名和密码匹配即可成功登录。

/**

• • Description:验证登录，ticket成功后放置缓存中,

• @param

• @author huangweicheng

• @date 2020/12/31

*/

public JSONObject login(String username,String password){

JSONObject result = new JSONObject();

PersonEntity personEntity = personDao.findByLoginName(username);

if (personEntity == null || (personEntity != null &&
!personEntity.getPassword().equals(password))){

result.put(“success”,false);

result.put(“ticket”,“”);

result.put(“code”,“999”);

result.put(“message”,“用户名和密码不匹配”);

return result;

}

if (personEntity.getLoginName().equals(username) &&
personEntity.getPassword().equals(password)){

String ticket = UUID.randomUUID().toString();

ticket = ticket.replace(“-”,“”);

redisTemplate.opsForValue().set(ticket,personEntity.getLoginName(),10L,
TimeUnit.MINUTES);

result.put(“success”,true);

result.put(“ticket”,ticket);

result.put(“code”,200);

result.put(“message”,“登录成功”);

return result;

}

result.put(“success”,false);

result.put(“ticket”,“”);

result.put(“code”,“1000”);

result.put(“message”,“未知异常，请重试”);

return result;

}

Sign签名

把所有的参数拼接一起，在加入系统秘钥，进行MD5计算生成一个sign签名，防止参数被人恶意篡改，后台按同样的方法生成秘钥，进行签名对比。

/**

• @param request

• @return

*/

public static Boolean checkSign(HttpServletRequest request,String sign){

Boolean flag= false;

//检查sigin是否过期

Enumeration<?> pNames = request.getParameterNames();

Map<String, String> params = new HashMap<String, String>();

while (pNames.hasMoreElements()) {

String pName = (String) pNames.nextElement();

if(“sign”.equals(pName)) continue;

String pValue = (String)request.getParameter(pName);

params.put(pName, pValue);

}

System.out.println(“现在的sign–>>” + sign);

System.out.println(“验证的sign–>>” + getSign(params,secretKeyOfWxh));

if(sign.equals(getSign(params, secretKeyOfWxh))){

flag = true;

}

return flag;

}

重复访问

引入一个时间戳参数，保证接口仅在一分钟内有效，需要和客户端时间保持一致。

public static long getTimestamp(){

long timestampLong = System.currentTimeMillis();

long timestampsStr = timestampLong / 1000;

return timestampsStr;

}

需要跟当前服务器时间进行对比，如果超过一分钟，就拒绝本次请求，节省服务器查询数据的消耗

拦截器

每次请求都带有这三个参数，我们都需要进行验证，只有在三个参数都满足我们的要求，才允许数据返回或被操作。

public class LoginInterceptor implements HandlerInterceptor {

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长，自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

![](https://img-
blog.csdnimg.cn/img_convert/c79f32fb9109757c56734cbbaa621180.png)

![](https://img-
blog.csdnimg.cn/img_convert/bd095ecc945391b93da15000f21c7478.png)

![](https://img-
blog.csdnimg.cn/img_convert/d4f16e3146a3e852c1996556ceb5a160.png)

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，不论你是刚入门Android开发的新手，还是希望在技术上不断提升的资深开发者，这些资料都将为你打开新的学习之门！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！
ooFi-1715279598300)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，不论你是刚入门Android开发的新手，还是希望在技术上不断提升的资深开发者，这些资料都将为你打开新的学习之门！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析