报文防止篡改加签名

已于 2023-01-12 17:36:38 修改
阅读量1.6k 收藏 4
点赞数 4
分类专栏: java 文章标签: java 开发语言
于 2022-08-11 16:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mynameisjinxiaokai/article/details/126287397
版权

思路:
为了防止报文中途被拦截修改,需要在请求头中加入签名字段信息,值为请求连接请求方式params参数post参数认证信息等字符串的加密字符串。
加密方式采用非对称加密(不可逆)。 后端获取到这些数据后通过同样的加密方式对上述字符串进行加密,然后与签名字段做对比,如果不一致则认为报文信息被修改过,则拦截此次请求。

此种方式需要加密前的字符串需要保持一致,且加密方式保持一致。
请求params参数保持一致
参数转化为字符串前要先排序:
前端排序方法:

const sortJSON = (old) => {
  const type = Object.prototype.toString.call(old)
  const res = {}
  // 如果是对象就对key排序,生成一个新的对象返回
  if (type === '[object Object]') {
    const keyArray = []
    for (const key in old) {
      keyArray.push(key)
    }
    keyArray.sort()
    for (let key in keyArray) {
      key = keyArray[key]
      const value = '' + old[key]
      res[key] = sortJSON(value)
    }
    return res
  }
  if (type === '[object Array]') {
    const type = Object.prototype.toString.call(old[0])
    // 如果数组里嵌套字符串和数字,直接对数组排序
    if (type === '[object String]' || type === '[object Number]') {
      old.sort()
      return old
    }
    // 如果数组里嵌套对象,不改变对象顺序,只改变对象内属性顺序
    const newArray = []
    for (let i = 0; i < old.length; i++) {
      newArray.push(sortJSON(old[i]))
    }
    return newArray
  }
  // 对对象里的value排序,但不是对象活数组,就原样返回
  return old
}

使用:

params = JSON.stringify(sortJSON(params))

后端通过httpservletrequest获得参数放入map中,然后根据key排序,

post报文保持一致:
post报文是通过数据流传输的,因此不用排序。后端在获取到数据后,转化为字符串即可(此处要排除二进制文件,以及乱码问题)。
因为流数据只能读取一次,所以需要继承HttpServletRequestWrapper重写方法。(百度,多次读取httpservletrequest流数据)

@Slf4j
public class KCHttpRequestWrapper extends HttpServletRequestWrapper {

    private byte[] requestBody = null;

    public KCHttpRequestWrapper(HttpServletRequest request) {
        super(request);
        try {
            requestBody = StreamUtils.copyToByteArray(request.getInputStream());
        } catch (IOException e) {
            log.error("Wrap requestBody failed");
        }
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        if (requestBody == null) {
            requestBody = new byte[0];
        }
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public void setReadListener(ReadListener listener) {
                // do nothing
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public boolean isFinished() {
                return false;
            }
        };
    }

    @Override//对外提供读取流的方法
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream(),"UTF-8"));
    }
}

public class ChannelFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if (servletRequest instanceof HttpServletRequest) {
            String contentType = servletRequest.getContentType();
            String method = "multipart/form-data";
            if (contentType != null && contentType.contains(method)) {
                filterChain.doFilter(servletRequest, servletResponse);
                return;
            }
            requestWrapper = new KCHttpRequestWrapper((HttpServletRequest) servletRequest);
        }
        if (requestWrapper == null) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            filterChain.doFilter(requestWrapper, servletResponse);
        }
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

@Slf4j
public class SignatureInterceptor extends HandlerInterceptorAdapter {

    private final static String SALT = "testtest";

    @Override
    public boolean preHandle(HttpServletRequest servletRequest, HttpServletResponse response, Object handler) throws IOException {
        String contentType = servletRequest.getContentType();
        if (null != contentType && contentType.contains("multipart/form-data")) {
            return true;
        }
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            JwtIgnore jwtIgnore = handlerMethod.getMethodAnnotation(JwtIgnore.class);
            if (jwtIgnore != null) {
                // 忽略带JwtIgnore注解的请求
                return true;
            }
        }
        HttpServletRequest request = new KCHttpRequestWrapper(servletRequest);
        if (request == null) {
            return true;
        }
        String method = request.getMethod().toLowerCase();
        if ("options".equals(method)) {
            return true;
        }
        String path = request.getServletPath();
        if (!path.contains("api")) {
            return true;
        }
        String frontSignature = request.getHeader("Signature");
//        if (null == frontSignature) {
//            return true;
//        }
        StringBuffer newSignatureBuffer = new StringBuffer(SALT);
        newSignatureBuffer.append(request.getRequestURI());
        newSignatureBuffer.append(method);
        Map<String, String[]> parameterMap = request.getParameterMap();
        newSignatureBuffer.append(dealParams(parameterMap));
        String data = "";
        StringBuffer sb = new StringBuffer();
        BufferedReader isr = request.getReader();
        try {
            char[] charBuffer = new char[2048];
            int readCount = 0;
            while ((readCount = isr.read(charBuffer)) != -1) {
                sb.append(charBuffer, 0, readCount);
            }
        } catch (IOException e) {
            throw e;
        }
        data = sb.toString();
        newSignatureBuffer.append(data);
        String authorization = request.getHeader("Authorization");
        if (!StringUtils.hasLength(authorization)) {
            authorization = "";
        }
        newSignatureBuffer.append(authorization);
        String decryptData = DigestUtils.sha256Hex(newSignatureBuffer.toString());
        if (!StringUtils.hasLength(frontSignature)) {
            log.info("报文头没有Signature,请求不被允许!");
            sendError(response, "没有Signature,请求不被允许");
        } else if (frontSignature.equals(decryptData)) {
            return true;
        } else {
            log.info("报文有被修改,请求不被允许!请求信息:{}。原始报文密文:{}", newSignatureBuffer, frontSignature);
            sendError(response, "报文修改,请求不被允许");
        }
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 放置tl内存泄漏,手动回收
        WebContext.getInstance().removeCurrentUser();
    }

    private void sendError(HttpServletResponse response, String errMsg) throws IOException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setStatus(HttpServletResponse.SC_OK);
        ResultVO<String> vo = ResultUtil.error(HttpServletResponse.SC_UNAUTHORIZED, errMsg);
        response.getWriter().println(JSON.toJSONString(vo));
    }

    /**
     * 处理params参数,与前端保持一致
     *
     * @param parameterMap
     * @return
     */
    private String dealParams(Map<String, String[]> parameterMap) {
        String params = "";
        if (CollectionUtils.isEmpty(parameterMap)) {
            return params;
        }
        Map<String, Object> strMap = new HashMap<>();
        for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) {
            String key = entry.getKey();
            String[] value = entry.getValue();
            Object strValue = "";
            if (null != value && value.length > 0) {
                strValue = value[0];
            }
            strMap.put(key, strValue);
        }
        params = JSON.toJSONString(sortMapByKey(strMap));
        return params;
    }

    private static Map<String, Object> sortMapByKey(Map<String, Object> map) {
        if (map == null || map.isEmpty()) {
            return null;
        }
        Map<String, Object> sortMap = new TreeMap<String, Object>(new Comparator<String>() {
            @Override
            public int compare(String o1, String o2) {
                return ((String) o1).compareTo((String) o2);
            }
        });
        sortMap.putAll(map);
        return sortMap;
    }
}

加密方式保持一致:

前端引入js-sha256

import { sha256 } from 'js-sha256'
config.headers.Signature = sha256(sign)

后端:

String decryptData = DigestUtils.sha256Hex(newSignatureBuffer.toString());
SpringBoot实现接口签名防止篡改(V2)
明平姚的博客
07-09 1717
SpringBoot实现接口签名防止篡改
防止篡改\防止重放攻击方案
西京刀客
08-15 2001
文章目录一、防止重放攻击方案1. 问题背景二、timestamp和nonce的防止重放攻击方案三、防止篡改(请求参数防篡改)1. 签名验证方法2. 第三方接口的签名算法中为什么要对请求参数按参数名做字典序升序排列?实现demo四、参考 一、防止重放攻击方案 1. 问题背景 重放攻击是计算机世界黑客常用的攻击方式之一。 重放攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客自己编写了一个类似的HTTP请求,发送给服务器。也就是说服务器处理了两个请求,先处理了正常的HTTP请求,然后又处理了黑客发
前后端分离技术之签,验签,报文篡改
qq_52183856的博客
12-13 685
通过后端RSA非对称密方式,对返回的数据使用私钥进行密,增返回参数sign,前端使用公钥来对相同的数据密,通过对比生成的sign来判断数据是否存在篡改的情况。最近项目上被渗透扫到可以通过篡改后端返回的报文,来使前端跳过校验进入下一步操作。
接口防篡改+防重放攻击
最新发布
Java后端技术栈
01-18 1342
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。如果没有,则创建这个key,把这个key失效的时间和验证timestamp失效的时间一致,比如是60s。如果有,说明这个key在60s内已经被使用了,那么这个请求就可以判断为重放请求。去redis中查找是否有key为nonce:{nonce}的string。
HTTP 请求报文的拦截与篡改
04-04
•HTTP代理实现请求报文的拦截与篡改9--实现篡改功能后的演示+源码下载 http://blog.csdn.net/duhai/article/details/22936979
JSON格式报文签/验签接口 保证顺序
蓝色忧郁
05-24 2805
JSON格式报文签/验签接口 概述 最近项目中遇到针对接口数据签/验签的需求,如何保证接受到的字符串的顺序和发送的顺序一致,只有这样才能保证验签成功。 需要将JSON字符串转换成map对象,获取map中的业务数据,如果map存在嵌套,只针对第一层进行自然排序,然后进行签名验证。 验证JSON转换工具 工具 fastJson gson hutool 目标 JSON字符串转Map是否保证原来的顺序 Map转JSON字符串是否保证原来的顺序 代码 package com.sedaier.tes
抓包工具Fiddler篡改请求响应报文
青云小轩
12-26 2450
简介 客户端和服务器通信发送报文进行通讯,但这些报文可以被截获修改进行一些攻击。对于web端和app都可以查看源码判断解密算法,并且大部分情况下都可以伪造响应报文,尤其是未密和签名报文。对于RSA报文可以利用之前获取成功报文,直接返回给特殊功能进行绕过攻击。例如截获新增用户成功响应的报文【可以是密后的报文】,在验证短信界面直接截获返回成功响应的报文给验证短信界面。如果客户端未采取包顺序标...
HTTP协议扫盲(五)HTTP请求防篡改
weixin_33894640的博客
08-07 880
相关链接: http://www.cnblogs.com/ziyi--caolu/p/4742577.html 请求防重放:http://www.2cto.com/kf/201612/573045.html 登录防重放:http://huangqiqing123.iteye.com/blog/2033014 一、概念和定义 1、什么是重放攻击? 我们在设计接口的时候,最担心一个接口被别有用心的用户...
RSA算法【签名实战】【接口参数防止篡改
u014265398的博客
04-18 915
文章目录前言一.准备条件二.签名思路三.编码实现3.1首先将python需要的第三方库都安装起来3.2 安装python实现RSA算法库3.3编写控制器文件,将web服务搞起来3.4 编写html,发送网络请求3.5 编写python签名方法总结 前言 现在网络攻击,网络爬虫,黑客攻击无处不在,一些重要的API接口如果不以保护,数据很容易被窃取,甚至给企业带来重大经济损失,那该如何防范呢?其实应对这种情况,行业给出了一个方案就是使用签名,接下来我就浅谈一下我的实现方式 一.准备条件 1...
跨境电商报文签上传客户端filetransfer-1.5.4.1.rar
11-20
这在跨境交易中至关重要,因为涉及到跨国的法律合同、交易凭证等,必须防止数据被篡改或伪造。签能提供这种保护,增强了交易的安全性和合法性。 其次,该客户端支持FTP(文件传输协议)、HTTP(超文本传输协议)...
WebScoket通过IC卡提交报文推送.rar
08-03
4. 安全考虑:强调在实际应用中,如何确保签过程的安全性,防止中间人攻击、篡改报文等风险。 5. 服务器端处理:说明服务器如何接收签后的报文,验证签名,以及如何响应客户端。 6. 实战示例:提供一个简单的...
数据签名篡改工作原理和例子
08-10
数据签名篡改工作原理和例子
签名验证生成报文
12-05
java 签名 密验证签名 生成报文提交给服务器采用SHA1withRSAUtil 证书签名算法
PHP 阿里云 活体人脸检测报文篡改
08-07
PHP是一种广泛用于Web开发的脚本语言,而阿里云提供了众多云端服务,包括人工...3. **验证机制**:在服务端检查请求的完整性,如校验哈希值、签名防止篡改。 4. **代码审计**:定期审查代码,修复潜在的安全隐患。
使用数字签名实现数据库记录防篡改Java实现)
weixin_30306905的博客
01-24 708
本文大纲 一、提出问题 二、数字签名 三、实现步骤 四、参考代码 五、后记 六、参考资料 一、提出问题 最近在做一个项目,需要对一个现成的产品的数据库进行操作,增额外的功能。为此,需要对该产品对数据库有什么操作进行研究(至于怎么监控一个产品的操作会引发什么数据库操作,以后会详细解说)。本来已经对数据库的操作了如指掌的,无意中发现数据库表里的每条记录都会...
借助FreeHttp任意篡改http报文 (使用·实现)
weixin_30906671的博客
02-25 845
引言 FreeHttp是一个Fiddler插件借助FreeHttp您可按照您自己的设定修改请求或响应报文,这对测试及调试都非常有用 比如您发现线上页面js文件错误,直接使用规则替换新的js文件您可以在不对线上服务做任何改动的情况下直接在线上验证 同样在发现服务接口数据不符合预期时也可以直接修改验证,甚至可以清除手机浏览器或微信服务号的登陆状态 希望在您了解其基本功能及工作原理后,...
通过RSA和DES实现网络报文签(实例)
持续学习,坚持原创,分享技术笔记及经验。
07-11 9571
该模块有以下几个java: /RsaAndDesTest/src/com/test/Test.java // 测试类 /RsaAndDesTest/src/com/test/EncryptManager.java // 解密类 /RsaAndDesTest/src/com/utils/DesUtils.java // des相关处理类 /RsaAndDesTest/src/com/uti
如何防止抓包篡改HTTP请求参数
zyxpython的博客
05-13 799
签名后的md5发生了变化,服务器端把请求参数1去做md5和之前做对比,发现不一样,就会知道发送过程中被黑客做了数据篡改。改变后:http://asdadsad.com?比如http://asdadsad.com?Api接口的验证签名,移动APP接口,都会做md5密。可以查看是数据否发生变化。
Web安全 【基础】 请求防篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 5674
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值