RestFul接口的安全验证事例

最新推荐文章于 2024-08-11 20:16:24 发布
最新推荐文章于 2024-08-11 20:16:24 发布
阅读量1.3w 收藏 28
点赞数 4
分类专栏: Java 文章标签: restful安全 restful签名 restful校验 restful权限 restful接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20641565/article/details/56689971
版权

这次要写一些restful的接口,在访问安全这一块最开始我想到用redis存储模拟session,客户端访问会带token过来模拟jsessionid,然后比对,但是这样会让token暴露在网络中,很不安全而且没有意义。

  • 其实可以用签名的方法来解决这个问题:

首先:client开通服务的时候,server会给它创建authKey和一个token,authKey相当于是公钥可以暴露在网络中,token是私钥不会暴露在网络中

然后:client请求服务端的时候在header中添加请求的时间戳,并且对发送的信息以及时间戳和token拼接起来的字符串进行签名(可以采用MD5或者SHA-0、SHA-1等)

最后:把签名串以及信息和header的信息发送到服务端,然后服务端会取出header信息以及签名串和信息,先对header里面的时间和服务器接收到的时间校验然后求差值如果大于多少秒就返回时间错误(防止重复攻击),然后在服务器端也对数据拼接签名,最后对比签名是否相等,如果不等就返回错误信息,如果相等下面就可以开始处理业务信息。

  • 刚写了份demo代码 结构如下:

这里写图片描述

  • 工程中使用springmvc发布服务,其中controller中的代码如下:
package com.lijie.api;

import java.util.Calendar;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import com.lijie.utils.Signature;

/**
 * 
 * @author Lijie
 *
 */
@Controller
public class ApiAuth {

    /**
     * 测试auth
     * @param request
     * @param authKey
     * @param sign
     * @param info
     * @return
     * @throws Exception
     */
    @RequestMapping(value = "/api/auth/test", method = RequestMethod.POST)
    @ResponseBody
    public String testAuth( HttpServletRequest request, String authKey, String sign,
                            String info) throws Exception {

        String reqTime = request.getHeader("ReqTime-Time");

        //这里的token应该是根据客户端那边传来的authKey从redis里面将token取出来,我这里直接写死了
        String token = "lijieauthtest01";

        String check = check(reqTime, info, token, sign);

        System.out.println("服务端:" + check);

        //do service

        return check;
    }

    /**
     * 校验参数和签名
     * 
     * @param reqTime
     * @param info
     * @param token
     * @param sign
     * @return
     * @throws Exception
     */
    private String check(String reqTime, String info, String token, String sign) throws Exception {

        if (StringUtils.isEmpty(reqTime)) {
            return "头部时间为空";
        }
        if (StringUtils.isEmpty(info)) {
            return "信息为空";
        }
        if (StringUtils.isEmpty(token)) {
            return "没有授权";
        }
        if (StringUtils.isEmpty(sign)) {
            return "签名为空";
        }

        long serverTime = Calendar.getInstance().getTimeInMillis();

        long clientTime = Long.parseLong(reqTime);

        long flag = serverTime - clientTime;

        if (flag < 0 || flag > 5000) {
            return "时间错误";
        }

        String allStr = info + reqTime + token;

        String md5 = Signature.md5(allStr);

        if (sign.equals(md5)) {

            System.out.println("服务端未签名时为:" + allStr);

            System.out.println("服务端签名之后为:" + md5);

            return "签名成功";
        }

        return "签名错误";
    }

}
  • 测试httpclient请求的代码如下:
package com.lijie.test;

import java.util.ArrayList;
import java.util.Calendar;
import java.util.List;

import org.apache.http.NameValuePair;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.message.BasicHeader;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.util.EntityUtils;
import org.junit.Test;

import com.lijie.utils.Signature;

public class MyTest {

    private static final String token = "lijieauthtest01";

    @Test
    public void authTest() throws Exception {
        //创建一个httpclient对象
        CloseableHttpClient client = HttpClients.createDefault();

        //创建一个post对象
        HttpPost post = new HttpPost("http://localhost:8080/api/auth/test");

        //创建一个Entity,模拟表单数据
        List<NameValuePair> formList = new ArrayList<>();

        //添加表单数据
        long clientTime = Calendar.getInstance().getTimeInMillis();
        String info = "这是一个测试 restful api的 info";
        String reqStr = info + clientTime + token;
        formList.add(new BasicNameValuePair("authKey", "1000001"));
        formList.add(new BasicNameValuePair("info", info));
        String md5 = Signature.md5(reqStr);
        formList.add(new BasicNameValuePair("sign", md5));
        //包装成一个Entity对象
        StringEntity entity = new UrlEncodedFormEntity(formList, "utf-8");

        //设置请求的内容
        post.setEntity(entity);

        //设置请求的报文头部的编码
        post.setHeader(
            new BasicHeader("Content-Type", "application/x-www-form-urlencoded; charset=utf-8"));

        //设置期望服务端返回的编码
        post.setHeader(new BasicHeader("Accept", "text/plain;charset=utf-8"));

        //设置时间
        post.setHeader(new BasicHeader("ReqTime-Time", clientTime + ""));

        System.out.println("客户端未签名时为:" + reqStr);

        System.out.println("客户端签名之后为:" + md5);

        //执行post请求
        CloseableHttpResponse response = client.execute(post);

        //获取响应码
        int statusCode = response.getStatusLine().getStatusCode();

        if (statusCode == 200) {

            //获取数据
            String resStr = EntityUtils.toString(response.getEntity());

            //输出
            System.out.println("请求成功,请求返回内容为: " + resStr);
        } else {

            //输出
            System.out.println("请求失败,错误码为: " + statusCode);
        }

        //关闭response和client
        response.close();
        client.close();
    }
}
  • Signature类其实就是MD5加密的一个工具类,代码如下:
package com.lijie.utils;

import java.security.MessageDigest;

/**
 * 
 * @author Lijie
 *
 */
public class Signature {

    public static String md5(String data) throws Exception {
        // 将字符串转为字节数组
        byte[] strBytes = (data).getBytes();
        // 加密器
        MessageDigest md = MessageDigest.getInstance("MD5");
        // 执行加密
        md.update(strBytes);
        // 加密结果
        byte[] digest = md.digest();
        // 返回
        return byteArrayToHex(digest);
    }

    private static String byteArrayToHex(byte[] byteArray) {
        // 首先初始化一个字符数组,用来存放每个16进制字符

        char[] hexDigits = {    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D',
                                'E', 'F' };

        // new一个字符数组,这个就是用来组成结果字符串的(解释一下:一个byte是八位二进制,也就是2位十六进制字符(2的8次方等于16的2次方))

        char[] resultCharArray = new char[byteArray.length * 2];

        // 遍历字节数组,通过位运算(位运算效率高),转换成字符放到字符数组中去

        int index = 0;

        for (byte b : byteArray) {

            resultCharArray[index++] = hexDigits[b >>> 4 & 0xf];

            resultCharArray[index++] = hexDigits[b & 0xf];

        }

        // 字符数组组合成字符串返回

        return new String(resultCharArray);
    }

}
  • 开启服务,测试访问,其中服务端输出:

这里写图片描述

  • 客户端输出:

这里写图片描述

lijie_cq
关注
专栏目录
RestFul架构下的安全验证
JustKian的博客
06-28 678
1.Restful的web安全与传统MVC的web安全区别 我们知道现今有很多安全框架可供我们使用,比如Spring Security、Shrio等。但是过去很多应用在使用他们进行web安全拦截的时候都是基于mvc架构,并没有实现前后端真正的完全分离,他们可以直接在服务端控制页面的渲染呈现和拦截。 但是考虑到前后端完全分离后,服务端只负责业务,并不负责页面的呈现,页面的呈现完全交由前端来做(实际上...
接口自动化测试
weixin_54048131的博客
08-17 527
Charles下。
RESTful接口签名认证实现机制
weixin_33816611的博客
04-10 756
RESTful接口        互联网发展至今,催生出了很多丰富多彩的应用,极大地调动了人们对这些应用的使用热情。但同时也为互联网应用带来了严峻的考验。具体体现在以下几个方面: 1.     部署方式的改变:当用户量不多的情况下,可能只需部署一台服务器就可以解决问题,但是当很多用户的情况下,为抗住高并发访问,需要组成应用集群对外提供服务; 2.     应用构建的改变:很多应用采用了多种技...
java 对外开放接口鉴权 对外api接口开发还应该考虑哪些内容?
最新发布
qq_39666711的博客
08-11 94
3、客户端拿到这个随机数后将其与appsecret拼接生appsecretStr,然后调用生成签名方法,传入appsecretStr,appkey,nonce,url(备注:可转大写,转小写,追加特殊字符,然后加密)进行非可逆加密(MD5/SHA1等),生成签名A。第二次调用,查询redis,如果key存在,则证明是重复提交,直接返回错误。反之,查出appsecret,按照客户端的签名加密方式,进行加密,生成签名B,比较A和B,如果一样则生成token,失效缓存中的nonce,返回token。
restful 接口 安全性设计
u011196623的专栏
11-28 384
1、MD5混淆 第三方调用restful接口时,参数如商品名称、商品ID、金额、MD5加密(商品名称+商品ID+金额+sign),后台接口服务,获取对应的参数,然后按照MD5加密顺序,将商品名称、商品ID、金额+sign进行MD5加密,然后判断前台MD5加密的参数和后台接口加密的MD5是否一...
REST API 安全设计指南
唐僧打怪兽
10-20 1353
REST的全称是REpresentational State Transfer,它利用传统Web特点,提出提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API
【造个轮子系列】之保证RESTful接口数据的安全(一)AES加密解密
小哥哥的博客
12-24 4004
前言 前后端分离的开发模式下,API是暴露给客户端(浏览器)的。如果不做任何访问限制,那么任何人都可以访问,更严重的是,如果返回的数据是明文的,那么爬虫可能就特别喜欢了。所以,API不仅要做访问限制,还要做数据的加密。本篇暂时说一下数据的加密,只是一些个人见解。 一、统一数据返回格式 前后端分离的开发模式下,要进行统一异常处理,其中要统一数据的返回格式,具体方法可参考慕课网课程:Spring...
python 接口测试事例
07-16
在IT行业中,接口测试是软件测试的一个重要环节,它主要用于验证不同系统或组件之间的交互是否按预期进行。Python作为一种强大的编程语言,因其简洁易读的语法和丰富的库支持,成为了编写接口测试脚本的热门选择。在...
4PX物流平台对接文档与事例代码
08-31
1. **API介绍**:4PX API是基于HTTP协议的RESTful接口,允许开发者通过发送GET和POST请求来获取和更新数据。了解这些接口的基本结构和调用方式是对接的基础。 2. **认证机制**:通常,4PX API会采用API Key或OAuth...
请在idea上spring boot项目里写一个后端的用户登录注册的事例接口,写出完整的每一部分的代码写上标注
06-07
@RestController // 标注该类为RESTful风格的Controller组件 @RequestMapping(path = "/api/users") // 标注该Controller处理的路径为/api/users public class UserController { @Autowired // 自动注入UserService...
C#网络编程及应用事例
12-02
另外,使用证书进行服务器验证可以确保通信的安全性。在设计网络服务时,考虑安全性是至关重要的。 除此之外,C#网络编程也包括Web服务的开发,如SOAP和RESTful API。Web服务可以让不同平台和语言的应用程序通过...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
分析RESTful API安全性及如何采取保护措施
Eolink 的博客
07-01 1307
本文中讨论了API安全性和采用安全措施的重要性,如身份验证,API密钥,访问控制和输入验证。 API设计的第一步是撰写接口文档 根据TechTarget(海外IT专业媒体)的定义,RESTful API是一个应用程序接口,它使用HTTP请求来获取GET,PUT,POST和DELETE等数据。从技术层面上看,RESTful API(也称为RESTful Web服务)是一种基于代表性状态转移(RE...
java restfull加密,一种简单的REST API接口加密实现,只允许自己的产品调用后台,防止接口被刷...
weixin_30802399的博客
03-20 591
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。后台接口很容易暴露1.实现思路:客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_ti...
springboot实现对RESTful API接口进行统一加解密
weixin_42034623的博客
03-14 1576
值也是hex值,key是base64的则加密后的值也是base64值,其中AES、DES、SM4是对称加密,加解密直接设置key值,publicKey和privateKey值不用设置,非对称加密RSA、SM2需要设置公私钥,key不用设置。加密key的生成使用Sm2Utils.java、Sm4Utils.java、RsaUtils.java、AesUtils.java、DesUtils.java生成,生成的key转base64或hex值,key是hex值的加密后的。拦截请求前后,所以请求参数必须有。
开放接口/RESTful/Api服务的设计和安全方案详解
我的知识库
05-07 718
一、总体思路 这个涉及到两个方面问题: 一个是接口访问认证问题,主要解决谁可以使用接口(用户登录验证、来路验证) 一个是数据数据传输安全,主要解决接口数据被监听(HTTPS安全传输、敏感内容加密、数字签名) 二、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessioni...
RESTful API的安全性常用方法
youbo_sun的专栏
03-02 2759
保证RESTful API的安全性,主要包括三大方面:  a) 对客户端做身份认证  b) 对敏感的数据做加密,并且防止篡改  c) 身份认证之后的授权  对客户端做身份认证,有几种常见的做法:  在请求中加签名参数 1.为每个接入方分配一个密钥,并且规定一种签名的计算方法。要求接入方的请求中必须加上签名参数。这个做法是最简单的,但是需要确保接入方密钥的安全保存,另外还要注意防范r
Restful API 安全
xiaojian90的博客
08-15 655
restful是一种轻量级的web service实现方式。restful并不是标准,也没有对应的软件实体,只是基于http协议的一种指导性的设计方法或原则。当下流行的open api大部分采用restful的方式实现,但restful并不限于此。普通的web app,移动app,以及系统
Restful安全认证及权限的一种解决方案
浪子恒心
06-10 1043
一、Restful安全认证常用方式 1.Session+Cookie 传统的Web认证方式。需要解决会话共享及跨域请求的问题。 2.JWT JSON Web Token。 3.OAuth 支持两方和三方认证,是目前使用比较广泛的安全认证方式,但对于不使用第三方登录的认证的方式不太适用。 二、JWT简介 JWT由三部分组成,包括Header、Payload和Signature。 ...
RESTful接口设计规范与实践
"RESTful接口定义标准是我公司遵循的接口设计规范,旨在提供清晰、一致且易于理解的API。此标准基于REST(Representational State Transfer)原则,利用HTTP方法(GET、POST、PUT、DELETE)来操作资源。" 在RESTful...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值