防止第三方请求接口方案

最新推荐文章于 2024-03-18 13:32:03 发布
最新推荐文章于 2024-03-18 13:32:03 发布
阅读量423 收藏 6
点赞数 11
分类专栏: PHP 文章标签: javascript php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24369959/article/details/135394466
版权
本文介绍了前端和后端通过生成临时token并使用对称加密进行请求验证的方法,以增强API接口的安全性。前端使用JavaScript生成签名,后端PHP验证。虽然有一定的时效性和前端安全风险,但能有效拦截恶意请求。
摘要由CSDN通过智能技术生成

防止第三方请求接口方案

方案:临时token(对称加密)

该方法需要前端与后端共同约定一个令牌参数,发出请求前结合 token 参数和随机数,生成临时的随机 token(有效期60秒或更多),通过请求的header携带该参数,由后端使用相同的加密手段得到与约定 token 匹配的参数。
在每次发起请求的header中携带 timestamp(时间戳)、nonce(随机字符串)、sign(加密后的token),由后端校验sign的一致性。
举例:

前端(JavaScript)

// 创建一个 Date 对象var date = new Date();
// 设置时区为 "Asia/Shanghai"
var date = new Date();
date.toLocaleString("en-US", {timeZone: "Asia/Shanghai"});
let timestamp = date.getTime();
const NEKOT = 'TESTTOKEN';
const query = {
  timestamp: timestamp,    // '1704285994000'
  nonce: 'bbkknn',    // 此处为每次请求接口时随机生成的任意长度字符串
  token: NEKOT    // 此处为与后端约定好的TOKEN
};

let filteredQuery = Object.fromEntries(
  Object.entries(query).filter(([key, value]) => value.length > 0)
);
let sortedQuery = Object.fromEntries(
  Object.entries(filteredQuery).sort(([keyA], [keyB]) => keyA.localeCompare(keyB))
);
let queryString = new URLSearchParams(sortedQuery).toString();
let sign = md5(queryString);    // 此处为生成的临时token

后端(PHP(此处为ThinkPHP的中间件))

以PHP为例,其他语言逻辑一样,只需转换为对应语法即可。

<?php

namespace app\index\middleware;

use think\exception\HttpResponseException;
use think\response\Json as JsonResponse;

// 在访问接口时需经过的中间件
class Base
{
    protected $TOKEN = 'TESTTOKEN';    // 与前端约定好的TOKEN
    const EXPIRE_TIME = 60;    // 临时token的过期时间
    public function handle($request, \Closure $next)
    {
        // 前端生成sign时的时间戳
        $timestamp = $request->header("Request-TimeStamp");
        // 前端生成的临时token
        $signature = $request->header("Signature");
        // 前端自己生成的随机字符串
        $nonce = $request->header("Nonce");
        $now = time();

        if (abs(floor($timestamp / 1000) - $now) > self::EXPIRE_TIME) {
            // 过期的请求、抛出异常
        }

        $query = [
            'timestamp' => $timestamp,
            'nonce' => $nonce,
            'token' => $this->TOKEN
        ];
        $query = array_filter($query, 'strlen');
        ksort($query);
        $sign =  md5(http_build_query($query));    // 与前端对称加密后的sign

        if ($sign !== $signature) {
            // 非法请求、抛出400
        }
        return $next($request);	// 校验通过,执行下一步操作
    }
}

优点:
校验逻辑少,响应快,拦截效果立竿见影。

缺点:
请求具有响应时效性(比如60秒),一般是够用的 无大碍。 由于token需要储存在前端,不能百分百保证不被三方破解,这点可在前端的加密部分提升代码复杂度以提升安全性。前端通过VUE打包后只要没有源码一般很难解译出token

CH妖梦
关注
专栏目录
C#处理和对接HTTP接口请求的方法
09-01
下面通过四步给大家介绍了c#处理和对接http接口请求的方法,分步骤介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起看下吧
拦截器应用 - 非法请求拦截
qq_44833327的博客
01-17 592
用户控制器 UserInfoController 定义 @Controller @RequestMapping("/userInfo") public class UserInfoController { /** * 用户登录 * @return */ @RequestMapping("/login") public ModelAndView userLogin(HttpSession session){ System.out.pri
如何防止API接口被恶意调用
靖节先生的博客
02-18 6661
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
Spring MVC之拦截器的实现与非法请求拦截处理的实现
积跬步,至千里。
07-25 2215
Spring MVC的拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。
Spring Security 前后端分离登录,非法请求直接返回 JSON
最新发布
weixin_57992300的博客
03-18 744
对于面试,一定要有良好的心态,这位小伙伴面试美团的时候没有被前面阿里的面试影响到,发挥也很正常,也就能顺利拿下美团的offer。小编还整理了大厂java程序员面试涉及到的绝大部分面试题及答案,希望能帮助到大家,也祝愿大家都能够升职加薪!试涉及到的绝大部分面试题及答案,希望能帮助到大家,[外链图片转存中…(img-eLQ5uuhI-1710739912631)][外链图片转存中…(img-o1XCsPPw-1710739912631)]也祝愿大家都能够升职加薪!本文已被。
Thinkphp第三方登录演示与下载
11-10
2. **安装集成库**:Thinkphp通常通过Composer管理依赖,你可以使用Composer安装第三方登录的SDK,如`overtrue/wechat`、`qqconnect/qqconnect`等,这些库提供了与第三方平台交互的接口。 3. **设置回调地址**:在...
第三方支付组件设计方案
05-09
本文将详述“第三方支付组件设计方案”,重点关注支付宝即时到账、快钱人名币网关、快钱MAS信用卡、环讯信用卡、银联手机支付这五种支付接口的调用方式及其设计要点。 一、支付宝即时到账接口 支付宝即时到账接口是...
第三方支付联调 久久派
01-17
第三方支付的场景下,RSA加密通常用于保障交易数据的安全传输,防止在互联网上传输过程中被窃取或篡改。 在联调过程中,开发者首先需要了解久久派提供的API接口,这些接口通常包括但不限于充值、退款、查询交易...
第三方登录
07-20
4. 实现登录逻辑:在应用中调用SDK提供的登录接口,启动第三方登录流程。 5. 处理回调:当用户在第三方应用中授权后,会被回调到你的应用,此时需要解析回调URL,获取访问令牌。 6. 请求用户信息:使用访问令牌通过...
第三方登入
06-24
第三方登录,也称为社交登录,是现代互联网应用中常见的用户身份验证方式。它允许用户使用已有的社交媒体账户(如QQ、微信、微博等)来快速注册或登录到其他应用程序,而无需创建新的账户和密码。这种方式提高了用户...
网页非法访问的控制
weixin_43798202的博客
07-17 2712
概览:用两种不同的方式实现阻止非法访问网页:拦截器、过滤器的使用和Spring-Security的使用。 拦截器和过滤器的使用: 在项目中加入拦截器与过滤器 工作原理: 1>拦截器:拦截的是 action,说白了拦截的是访问路径,但是阻止的方式是拦截网址的映射,还是可以通过访问页面的直接网址的非法访问方式进入网页; 2>过滤器:可以几乎过滤掉所有的东西;无论是网址的映射还是直接...
如何防止非法请求
weixin_30443747的博客
12-17 1591
方案一:每个请求都带上一个由服务器生成的随机参数。然后在服务器端和对该参数,如果和下发的随机数不同,则可以认为有人在伪造请求。因为攻击者无法知道他本次攻击的http请求需要带什么样的随机数才是有效的。 方案二:跨域伪造之所以能成功,主要决定因素是攻击者的页面和稍候被打开的目标页面共享session信息。受害者登录后,攻击者的页面通过ajax向被攻击网站的关键业务发起的请求便自动带上了合法的ses...
从五个方面入手,保障微服务应用安全
zero
11-10 1110
原文链接 对于应用程序安全,需要在应用架构、代码、运维、管理等多个角度进行安全性评估,在整个应用程序生命周期中,软件工程师们则主要负责身份验证、访问授权、进程间通信安全、代码安全、安全的管理与审计这五方面的方案落地。这五个方面中,前三个侧重于技术实现,代码安全、管理与审计则更需要规范的管理和执行,本文将着重对认证、授权、通信等技术相关内容重点介绍,管理规范相关内容仅做简单说明。 文中以采用了微服务架构的应用程序为背景进行描述,但多数的应用程序的安全方案与是否采用微服务架构并没有强关联,如有差异的地方,文中会
如何防止接口被重复调用,防止接口第三方调用
阿发狗伪原创
10-29 1172
(2)用户登陆后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。(3)两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。1. 加密,时间戳,每个包要有包序号,每次同向加1,收到重复序号认为是攻击,可以抵御重放攻击。
防止接口恶意多次请求的操作
xiexinxx0225的博客
06-13 2429
SpringBoot 防止接口恶意多次请求的操作
前后端分离,如何防止接口被其他人调用或恶意重发
weixin_30673715的博客
10-29 1121
前后端分离,如何防止接口被其他人调用或恶意重发? 首先,http协议的无状态特性决定了是无法彻底避免第三方调用你的后台服务。我们可以通过crsf、接口调用频率、用户行为分析(来源等)等各个方面来增加第三方调用的难度,也可以通过添加一个中间层比如node.js来实现;1. 非法访问通常使用认证来解决,方法很多session,token,oauth第三方框架等等。 (1)常规的方法:用户登陆后生成...
防止在C#中滥用接口
zls365365的博客
04-16 224
在设计应用程序时,通常需要使用接口和抽象类。本文讨论了一些常见的“接口滥用”的例子以及我们可以用来避免它们的策略。它还讨论了“编程到接口而不是实现”这一信条的含义什么是接口?首先,让我们了...
前端请求时加一个密钥的超详细方法
weixin_55690830的博客
08-11 877
代码】前端请求时加一个密钥的超详细方法。
SDN环境下的第三方业务请求审计与安全服务质量保障系统
针对前者,作者提出了一套安全访问策略,旨在通过严格的审计机制确保只有授权的第三方请求才能进行操作,防止未经授权的访问威胁网络的安全性。这包括设置访问权限规则、实施身份验证和授权流程,确保所有请求符合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值