Web前后端笔记-通过对称加密算法和信息摘要算法防止数据重放

最新推荐文章于 2024-03-12 16:45:30 发布
最新推荐文章于 2024-03-12 16:45:30 发布
阅读量1.4k 收藏
点赞数 43
分类专栏: Java 工作笔记 WEB安全 文章标签: Java Vue Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq78442761/article/details/106230138
版权
工作笔记 同时被 3 个专栏收录
384 篇文章 18 订阅
订阅专栏
Java
368 篇文章 20 订阅
订阅专栏
WEB安全
28 篇文章 2 订阅
订阅专栏

理论图如下:

这里使用时间戳和随机数和正常提交的表单数据生成MD5摘要,再使用某16位密钥把MD5进行AES加密,生成128位的数据。然后提交给服务器。

 

服务器先看提交的时间戳是否在范围内(如2分钟),如果时间非法就直接返回。

然后看各个数据进行某种有规则的算法,生成MD5看看是否与提交的MD5一样,不一样说明是被串改的。

如果MD5一样,对比下数据库中目前时间范围内(如2分钟)是不是二次提交,如果是就拒绝。

将MD5和某16位密钥进行AES加密,如果和客户端传上来的一样,那么就可以回数据了。

 

 

这里本人贴下对应的后端代码:

前端请求如下:

后端代码如下:

@SuppressWarnings("ALL")
@Component
public class XInterceptor extends HandlerInterceptorAdapter {


    @Autowired
    AuthXXXXService authService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {


        if(httpServletRequest.getMethod().equals("GET")){

            String url = httpServletRequest.getRequestURI();
            String contextPath = httpServletRequest.getServletPath();
            String para = httpServletRequest.getQueryString();
            Enumeration<String> parameterNames = httpServletRequest.getParameterNames();
            Map<String, String[]> parameterMap = httpServletRequest.getParameterMap();

            //参数是否正常
            if(!parameterMap.containsKey("timestamp") || !parameterMap.containsKey("signature") || !parameterMap.containsKey("shield")){

                httpServletResponse.sendError(VoXXXXEm.PARA_ERROR.getCode());
                return false;
            }

            //先检测签名是否过期 30s内不会过期
            Long timestamp = Long.valueOf(parameterMap.get("timestamp")[0]);
            Long currentStamp = System.currentTimeMillis();

            if(timestamp < (currentStamp - 30 * 1000)){

                httpServletResponse.sendError(VoEm.TIMEOUT.getCode());
                return false;
            }

            //检查签名是否合法
            String originStr = "";
            for(Enumeration key = parameterNames ; parameterNames.hasMoreElements();){

                String KeyPara = key.nextElement().toString();
                if(KeyPara.equals("signature") || KeyPara.equals("shield"))
                    continue;

                originStr += parameterMap.get(KeyPara)[0] + "$";
            }
            originStr = originStr.substring(0, originStr.length() - 1);
            String md5Str = MD5Utils.generateMD5(originStr);


            //验证签名
            if(!md5Str.equals(parameterMap.get("signature")[0])){

                httpServletResponse.sendError(VoXXXXEm.SIGN_ERROR.getCode());
                return false;
            }

            //禁止重放
            if(authService.isSignatureInResetMap(md5Str)){

                httpServletResponse.sendError(VoXXXXEm.REST_ERROR.getCode());
                return false;
            }


            //验证护盾
            String originShield = parameterMap.get("shield")[0];

            //key值为签名的前16位
            String decrypt = AESUtil.decrypt(originShield, parameterMap.get("signature")[0].substring(0, 16));

            if(!parameterMap.get("signature")[0].equals(decrypt)){

                httpServletResponse.sendError(VoXXXXEm.SHIELD_ERROR.getCode());
                return false;
            }

            //加入到禁止重放里面
            authService.addResetMap(md5Str, timestamp);

            //System.out.println("over");
        }
        else{

        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

这里提下

AuthXXXXService存储了MD5的相关数据。这里在Spring Boot中有个调度线程池

如下,每隔一段数据就清空下:

 

IT1995
关注
  • 43
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
对称加密AES算法前后端实现
07-06
对称加密AES算法,实现前后端加密解密,前端使用cryptojs.js实现,后端使用java实现
JavaScript前端和Java后端的AES加密和解密
weixin_30906671的博客
10-14 250
在实际开发项目中,有些数据前后端的传输过程中需要进行加密,那就需要保证前端和后端的加解密需要统一。这里给大家简单演示AES在JavaScript前端和Java后端是如何实现加密和解密的。 需要购买阿里云产品的,可以点击此链接领取红包,优惠购买哦:https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=fp9ccf07 ...
前后端参数传输进行AES对称加密处理】
最新发布
spring_is_coming的博客
03-12 392
AES对称加密算法工具类
API接口防止参数篡改和重放攻击
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
(个人记录)前后端对称性加密(转载)
publicLL的博客
06-27 533
java前后端对称性加密
http密码明文传输之AES前后端对称加密
yukuleshui的博客
05-07 2281
描述 高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法对称加密算法即加密和解密的过程使用同一个秘钥进行加密。 需求分析 前端post账号密码时,需要对密码进行加密,而不是使用密码明文进行传输,防止http请求被人截获而获取到用户的信息,AES对称加密就是一种方式,前端对密码进行加密,传输给后端后端获取之后使用和前端约定好的秘钥进行解密。 前端AES加解密 前端加密需要引入crypto-js库,crypto-js是加密标准的JavaScript库,实现
Java加密算法学习笔记的源码包
09-05
有关java中Base64算法,消息摘要算法对称加密算法,非对称加密算法,数字签名算法的使用方法相关的代码,其中包含相关的jar包
笔记】密码学与安全技术概要总结(一)
01-07
工程领域从来没有黑科技;...对称加密算法3.非对称加密算法4.选择明文攻击5.混合加密机制6.离散对数与Diffie-Hellman密钥交换协议三、消息认证码与数字签名1.消息认证码2.数字签名2.1 盲签名2.2多重签名2.3群签名
happybike:仿共享单车后台原始码和笔记-后台
03-24
AES对称加密数据,RSA非对称加密公钥密钥(对用户信息进行加密) redis缓存令牌(令牌作为用户的标识,维护用户的状态,会话) redis结合ActiveMQ发送短信验证码和防止恶意短信无限发送 整合云存储,保存头像(七...
笔记】密码学与安全技术概要总结(二)
01-20
笔记】密码学与安全...  对于非对称加密算法和数字签名来说,很重要的一点就是公钥的分发。理论上任何人可以公开获取到对方的公钥。然而这个公钥有没有可能是伪造的呢?传输过程中有没有可能被篡改掉呢?一旦公钥
CISSP学习笔记 CISSP关键知识点总结汇总.zip
01-05
CISSP学习笔记、CISSP关键知识点总结汇总,以网上搜集到的CISSP学习资料为基础,补充修改了关键内容,不保证正确。 第一章 通过原则和策略的安全治理 第二章 人员安全和风险管理概念 第三章 业务连续性计划 第四章 ...
vue前后端rsa+aes混合加密_AES前后端对称加密
weixin_35947010的博客
01-25 947
概述 高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法对称加密算法即加密和解密的过程使用同一个秘钥进行加密。本文从实用的角度去描述前后端使用AES对称加密。需求分析 前端请求数据传递参数时,需要对其进行加密,而不是使用明文进行传输,防止http请求被人截获而获取到信息,AES对称加密就是一种方式,前端对密码进行加密,传输给后端后端获取之后使...
javaVue前后端RSA对称加密
qq_41853447的博客
12-02 1863
javaVue前后端RSA对称加密 参考:https://blog.csdn.net/qq_25623257/article/details/109775531 一、生成秘钥对(公私钥) 在线生成地址:http://web.chacuo.net/netrsakeypair /** * 随机生成密钥对 * 生成秘钥对在线地址:http://web.chacuo.net/netrsakeypair * @throws NoSuchAlgorithmException */ public static
前后端分离项目使用AES对称加密算法做密码验证遇到的坑
没对象的野指针的博客
04-18 1373
AES对称加密算法前后端实现服务器实现代码依赖包Base64编码解码器获取密钥生成密钥字符串密码解码客户端实现 昨天优化前端登录组件发现前端的密码在HTTP传输过程中密码是明文传输的,这样就很不安全了,所以我决定对前端的密码进行加密 考虑到我服务器端的密码已经使用了Bcrypt算法对存入数据库的密码进行了加密,最终前端的加密算法我选择了AES, 每次登录前时服务器生成一个随机的密钥,发送给客户端,...
vue前后端AES对称加密解密算法
huanggx的专栏
04-27 1652
十几年没来了,今天开个头吧欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用
Web基础知识学习之加密(对称加密与非对称加密)
Three_ST的博客
02-27 518
个人的学习记录 加密算法 对称加密:加密和解密使用的同一套密钥 非对称加密:RSA算法 ,两个密钥,一个公钥,一个私钥。用私钥加密的数据,只有对应的公钥才能解密,用公钥加密的数据,只有对应的私钥才能解密。 非对称加密速度慢 非对称加密+对称加密 利用非对称加密传输对称加密使用的密钥,随后的通信通过对称加密实现,提升速度。 中间人劫持 你到底是谁(证书,授信,数字签名 将公钥和个人信息用Hash算法生成一个消息摘要,hash算法的优势是,输入数据变动一些,输出的消息摘要就会发生巨大变动。
前后端报文传输加密方案
weixin_39648546的博客
05-22 1万+
开发人员联系方式:[email protected] 代码库:https://github.com/chenjia/vue-desktop 代码库:https://github.com/chenjia/vue-app 代码库:https://github.com/chenjia/lxt 示例:http://47.100.119.102/vue-desktop 示例:http://47.100.119...
后端接口防重几种策略
苦行僧
02-15 6197
文章目录背景方案策略一:唯一索引机制策略二: 分布式锁策略三:缓存计数器 背景 在开发中很容易忽略接口防重的场景,比如交易中支付防重问题、营销系统中C端领取优惠券接口防重等等处理不当很容易引起资损。 方案 主流方式有三种策略:唯一索引机制、分布式锁和缓存计数器。 策略一:唯一索引机制 新建一个表用于存储锁的记录, CREATE TABLE `Lock` ( `id` int(11) unsign...
前后端 JS 加密常用方法(非对称加密、对称加密)
热门推荐
雪急飞绪博客
04-15 1万+
jsencrypt 进行 RSA 加密 npm i jsencrypt 生成 RSA 密钥对 将生产的公钥和私钥复制过来 import JSEncrypt from 'jsencrypt/bin/jsencrypt' const publicKey = `非对称加密公钥` const privateKey = `非对称加密私钥` const txt = 'hello world' /* 加密 */ function encrypt(pass) { const encryptor = ne
数据流图例子_TVM学习笔记--了解Relay和图优化
05-24
以下是一个简单的数据流图示例: ![数据流图示例]...数据流图可以用来描述计算模型的结构和计算过程,而图优化则可以通过对数据流图进行一系列的优化操作,来提高计算模型的执行效率和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT1995

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值