后台api接口幂等防止数据篡改,看完发现心领神会

最新推荐文章于 2024-04-28 16:00:00 发布
最新推荐文章于 2024-04-28 16:00:00 发布
阅读量730 收藏 5
点赞数 1
分类专栏: 架构师专栏 文章标签: redis java restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39751120/article/details/120848659
版权

什么是Api接口幂等?

简单来说Api接口幂等在有限的时间内限制接口访问请求,限制ip访问次数,不限制平台访问,都可以拿到数据。一个接口不可以重复表单提交,生产一次消费一次。

用户场景:同一时间重复提交多次请求。

什么是数据篡改?

api接口数据篡改,脚本文件,篡改接口参数进行服务器数据窃取,严重的数据篡改会导致数据库宕机,程序软件崩溃。

想到这里都知道后台api接口幂等多重要了吧。今天给大家讲非对称加密实现后台接口api幂等。

实现思路:jtw+ 验证标识+签名密钥+当前时间戳+存放过期时间+AES 实现加密算法token。

实现步骤:1,用户登录成功后,生产加密token存放redis.

                   2,下次登录检验token 是否过期,过期请重新登录。

                   3,用户登录存在有效期,不需要登录。(这里就是单点登录方式)

code核心实现类:


import io.jsonwebtoken.*;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import javax.annotation.PostConstruct;
import javax.servlet.http.HttpServletRequest;
import java.util.*;
import java.util.stream.Collectors;

@Component
public class JWTTokenUtils {

	public static final String AUTHORIZATION_HEADER = "x-token";

	public static final String AUTHORIZATION_TOKEN = "x-token";
	private final Logger logger = LoggerFactory.getLogger(JWTTokenUtils.class);
	private static final String AUTHORITIES_KEY = "auth";
	private String secretKey; // 签名密钥
	private long tokenValidityInMilliseconds; // 失效日期
	private long tokenValidityInMillisecondsForRememberMe; // (记住我)失效日期

	@PostConstruct
	public void init() {
		this.secretKey = "isoftstone.huwei";
		int secondIn1day = 1000 * 60 * 60 * 24;
		this.tokenValidityInMilliseconds = secondIn1day * 2L;
		this.tokenValidityInMillisecondsForRememberMe = secondIn1day * 7L;
	}

	// 创建Token
	public String createToken(Authentication authentication, Boolean rememberMe) {
		String authorities = authentication.getAuthorities().stream() // 获取用户的权限字符串,如 USER,ADMIN
				.map(GrantedAuthority::getAuthority).collect(Collectors.joining(","));
		long now = (new Date()).getTime(); // 获取当前时间戳
		Date validity; // 存放过期时间
		if (rememberMe) {
			validity = new Date(now + this.tokenValidityInMilliseconds);
		} else {
			validity = new Date(now + this.tokenValidityInMillisecondsForRememberMe);
		}
		return SysConst.SYS_COMPANY_HEAD+"."+ Jwts.builder() // 创建Token令牌
				.setSubject(authentication.getName()) // 设置面向用户
				.claim(AUTHORITIES_KEY, authorities) // 添加权限属性
				.setExpiration(validity) // 设置失效时间
				.signWith(SignatureAlgorithm.HS512, secretKey) // 生成签名
				.compact();
	}

	// 获取用户权限
	public Authentication getAuthentication(String token) {
		logger.info("JWTTokenUtils Start Get User Auth");
		// 解析Token的payload
		Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
		Collection<? extends GrantedAuthority> authorities = Arrays
				.stream(claims.get(AUTHORITIES_KEY).toString().split(",")) // 获取用户权限字符串
				.map(SimpleGrantedAuthority::new).collect(Collectors.toList()); // 将元素转换为GrantedAuthority接口集合
		User principal = new User(claims.getSubject(), "", authorities);
		return new UsernamePasswordAuthenticationToken(principal, null, authorities);
	}
	/**
	 * 解析token获取用户编码
	 * @param token
	 * @return
	 */
	public String getAuthSubject(String token) {
		Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
		return claims.getSubject();
	}
	
	public String resolveToken(HttpServletRequest request){
        String bearerToken = request.getHeader(AUTHORIZATION_HEADER);         //从HTTP头部获取TOKEN
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith(SysConst.SYS_COMPANY_HEAD)){
            return bearerToken.substring(bearerToken.indexOf(".")+1, bearerToken.length());                              //返回Token字符串,去除Bearer
        }
        String jwt = request.getParameter(AUTHORIZATION_TOKEN);               //从请求参数中获取TOKEN
        if (StringUtils.hasText(jwt) && jwt.startsWith(SysConst.SYS_COMPANY_HEAD)) {
            return jwt.substring(bearerToken.indexOf(".")+1, jwt.length());
        }
        return null;
    }

	// 验证Token是否正确
	public boolean validateToken(String token) {
		try {
			Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token); // 通过密钥验证Token
			return true;
		}  catch (MalformedJwtException e) { // JWT格式错误
			logger.info("Invalid JWT token.");
			logger.trace("Invalid JWT token trace: {}", e);
		} catch (ExpiredJwtException e) { // JWT过期
			logger.info("Expired JWT token.");
			logger.trace("Expired JWT token trace: {}", e);
		} catch (UnsupportedJwtException e) { // 不支持该JWT
			logger.info("Unsupported JWT token.");
			logger.trace("Unsupported JWT token trace: {}", e);
		} catch (IllegalArgumentException e) { // 参数错误异常
			logger.info("JWT token compact of handler are invalid.");
			logger.trace("JWT token compact of handler are invalid trace: {}", e);
		}catch (SignatureException e) { // 签名异常
			logger.info("Invalid JWT signature.");
			logger.trace("Invalid JWT signature trace: {}", e);
		}
		return false;
	}
}

redis写入缓存:

   RedisModel model = new RedisModel();
   model.setModelName(token);
   model.setModelKey("userInfo");
   Map<String,Object> params = new HashMap<String,Object>();
   params.put("userName", customerDto.getUsername());
   CustomerVo customerVo = new CustomerVo();
   customerVo.setEmail(customerDto.getEmail());
   customerVo.setPhone(customerDto.getPhone());
   CustomerVo userInfo = customerService.queryUserByUserName(customerVo);
   Map<String,Object> userToken = new HashMap<String,Object>();
   userToken.put("userToken", token);
   userToken.put("userInfo", userInfo);
   model.setModelData(userToken);
   model.setTimeoutType("M");
   model.setTimeout(redisTokenTimeOut);
   resultMap.setCode(CommonResultStatus.SUCCESS.getCode());
   resultMap.setMessage(CommonResultStatus.SUCCESS.getMessage());
   //写入为hash实体
   redisTemplate.opsForHash().put(model.getModelName(), model.getModelKey(), model.getModelData());
   redisTemplate.expire(model.getModelName(), model.getTimeout(), TimeUnit.MINUTES);
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
 public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	public static final String AUTHORIZATION_HEADER = "x-token";//Authorization

	//允许访问的路径
	private static final String[] AUTH_WITHOUTLIST = {
			// -- swagger ui
			"/v2/api-docs", "/swagger-resources", "/swagger-resources/**", "/configuration/ui",
			"/configuration/security", "/swagger-ui.html", "/webjars/**",
			// other public endpoints of your API may be appended to this array
			"/druid/**","/health","/info","/info/**",//druid sql 监听
			"/hystrix","/hystrix/**","/error","/loggers","/loggers/**",
			"/service-registry/instance-status","/hystrix.stream","/turbine/**","/turbine.stream",
			"/autoconfig","/archaius","/beans","/features","/configprops","/mappings","/auditevents",
			"/env","/env/**","/metrics","/metrics/**","/trace","/trace/**", "/dump","/dump/**", "/jolokia/**",
			"/info/**","/activiti/**", "/logfile/**", "/refresh","/flyway/**", "/liquibase/**","/heapdump","/heapdump/**",
			"/v1/authcenter/login","/v1/authcenter/fiberhomeLogin","/v1/authcenter/registered",//登录URL
			"/v1/authcenter/queryAuthInfo",//鉴权URL
			"/u/sms/sendPhone","/citry/getChineseProvinces","/code/getCaptchaImage","/u/sms/forgetEmailPwd",
			"/u/sms/sendEmail","/citry/getOtherCoutryList","/upload/pngDir/*","/job/getJobList","/u/sms/sendLoginEmail",
			"/v1/authcenter/queryUserInfoByMap","/v1/authcenter/forgetPwd",
			"/diagram-viwmer/**","/editor-marketing/**",
			"/modeler.html",
			"/actuator/health"
	};

	@Autowired
	private SecurityUserDetailsService securityUserDetailsService;
	@Autowired
	private AuthLogoutSuccessHandler authLogoutSuccessHandler;
	@Autowired
	private JWTTokenUtils tokenProvider;



	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//自定义获取用户信息设置密码加密  和默认用DaoAuthenticationProvider加密任选
		auth.userDetailsService(securityUserDetailsService).passwordEncoder(passwordEncoder());
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// 配置请求访问策略
		// 关闭CSRF、CORS
		http.cors().disable().csrf().disable()
				// 由于使用Token,所以不需要Session
				.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
				// 验证Http请求
				.authorizeRequests()
				// 允许所有用户访问首页 与 登录
				.antMatchers(AUTH_WITHOUTLIST).permitAll()
				// 其它任何请求都要经过认证通过
				.anyRequest().authenticated().and()
				// 用户页面需要用户权限
				// 设置登出
				.logout().logoutSuccessHandler(authLogoutSuccessHandler).permitAll();
		// 添加JWT filter 在
		http.addFilterBefore(new JwtAuthenticationTokenFilter(tokenProvider), UsernamePasswordAuthenticationFilter.class);
	}


//判断是否有权限分三步 
后台security 已经对地址做了拦截了,请求头必须设置请求参数参数
1:判断token是否存在(security 已实现)
2:token是否有效(基于redis) 
3:访问API是否有权限

缓存结构:

[
  "java.util.HashMap",
  {
    "userToken": "ISOFTSTONE.eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiI0MmRkMGJlZmQwNDg0MmMyODhiN2QxZjVkYTcwMWNjNiIsImF1dGgiOiJ1c2VyIiwiZXhwIjoxNjM1MjMyMzk4fQ.9VqMD0vyu-pe42moNd1QeNWP4KrBvvNYJKDQdQPDi_YKKXPG3l90dNn5wgK2rZXs471Pmeby-BdHPHd2-iNKfA",
    "userInfo": [
      "com.common.vo.CustomerVo",
      {
        "id": "42dd0befd04842c288b7d1f5da701cc6",
        "createTime": [
          "java.util.Date",
          "2021-06-10"
        ],
        "updateTime": [
          "java.util.Date",
          "2021-06-10"
        ],
        "deleted": 0,
        "phone": "13797004616",
        "password": "123456",
        "email": "sunlin@fiberhome.com",
        "status": "3",
        "isEnable": "1",
        "userType": "1",
        "roleId": null,
        "country": null,
        "provinces": null,
        "company": null,
        "jobs": null,
        "realName": "孙",
        "fiberhomeEmail": null,
        "department": null,
        "registerWay": null,
        "onlineTime": null,
        "expireDate": null,
        "registerIp": null,
        "language": null,
        "equipmentType": null,
        "accountType": null,
        "platformType": null,
        "companyType": null,
        "userdesc": null,
        "userid": "0210990342",
        "typeConfig": null,
        "isActive": "1",
        "postname": "副总经理",
        "did1": "701387",
        "dname1": "财务管理部",
        "did2": null,
        "dname2": null,
        "did3": null,
        "dname3": null,
        "did4": null,
        "dname4": null,
        "postid": "803711"
      }
    ]
  }
]

接口实现返回:

x-token:ISOFTSTONE.eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiI0MmRkMGJlZmQwNDg0MmMyODhiN2QxZjVkYTcwMWNjNiIsImF1dGgiOiJ1c2VyIiwiZXhwIjoxNjM1MjMyNTMzfQ.4QzaY_ln-EVukG6Hnbx-mRl2nUB0Eu6jJxIN0KHigzLfqZH7aXt1aId0RhRvS-o5Vf7cVp5jd9cqpkQwfp724A

 

请求其他接口访问,加入到请求头Headers里面即可。我们的api接口幂等就实现完成了。

 

小杨互联网
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据防止篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
API接口防止参数篡改和重放攻击
热门推荐
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
如何保证接口安全,做到防篡改防重放?
最新发布
Karka_的博客
04-28 616
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
防止API篡改
weixin_44423497的博客
08-29 130
接收到请求后,服务器使用相同的密钥和算法对请求进行签名验证,确保请求的整性和来源合法性。API密钥和令牌:为每个API请求生成唯一的API密钥或令牌,并要求客户端在请求中提供有效的密钥或令牌。日志和监控:记录API请求和响应日志,并进行实时监控和分析。综上所述,通过采取合适的身份认证、加密传输、数字签名、防篡改算法、访问控制和审计日志等措施,可以有效地防止API篡改和滥用。进行安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,及时发现和修复潜在的安全漏洞或弱点,以提高API的安全性和防御能力。
Spring MVC接口数据篡改和重复提交
08-25
Spring MVC接口数据篡改和重复提交 Spring MVC框架中,数据篡改和重复提交是常见的安全问题,本文将详细介绍如何使用Spring MVC防止数据篡改和重复提交。 一、自定义注解 在Spring MVC中,可以使用自定义注解来...
API接口安全策略文档
06-29
总的来说,API接口的安全策略是多层面的,包括身份验证、签名验证、重复校验和数据加密等。开发者在设计API时,必须重视这些安全措施,以保护系统的稳定性和用户数据的安全。在实际操作中,还需要根据具体场景和需求...
中国邮政_EMS_邮政小包_对接文档_API接口文档
01-28
6. **安全及数据整性**:所有接口都涉及到安全认证,确保数据传输的安全性和防止数据篡改。例如,sellerId字段类型的变化,下单取号接口中的一些字段的必填性调整,都是为了增强系统安全性和用户体验。 这些接口...
PHP开发API接口签名生成及验证操作示例
01-21
整性:能够对传入数据进行验证,防止篡改。 一、签名参数sign生成的方法 第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。 第2步: 然后把排序后的
API接口如何防止参数被篡改和重放攻击?
这个时代,作为程序员可能要学习小程序
08-25 2969
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
SpringBoot2 API接口签名实现(接口参数防篡改)
weixin_34360651的博客
05-31 9114
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器...
电商系统中API接口如何防止参数被篡改和重放攻击?
API_18870278351的博客
03-29 525
说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。
API接口篡改(加签、验签)原理
th1996的博客
05-13 3701
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.csdn.net/claram/article/details/98184448
Api 接口安全-防篡改,防重放理解总结
qq_38358436的博客
06-21 2067
篡改 为什么要防篡改 http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确 举个栗子, 现在有个充值的接口, 调用给用户对应的余额 http://localhost/api/user/recharge?user_id=1001&amount=10 给指定id的用户加上10块钱的余额 如果...
如何保证API接口数据传输安全?
apixixi的博客
12-08 323
保证API接口数据传输安全需要从多个方面入手,包括使用HTTPS协议、验证请求来源、限制访问权限、数据加密、防范常见攻击手段、日志和监控、定期安全审计、客户端安全、安全培训和意识提升以及应急预案等措施。通过综合运用这些措施,可以大大提高API接口数据传输安全性,保护企业和用户的利益不受损害。随着互联网的快速发展,API接口已成为不同系统之间数据交互和功能调用的重要桥梁。如何保证API接口数据传输安全,防止数据泄露、篡改或非法访问,已成为开发者和企业关注的焦点。如何保证API接口数据传输安全。
API接口漏洞利用及防御
MachinegunJoe777的博客
08-24 158
未经身份验证和授权访问:API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行未经授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口未正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞的访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
电商数据API接口如何防止叁数篡改和重放攻击?
电商数据Girl的博客
02-22 403
一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名。说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名。
逻辑越权和水平垂直越权支付篡改,验证码绕过,接口
qq_58970968的博客
08-08 1675
参考:内容来源00实验室笔记;越权漏洞分为水平和垂直越权;比如说,同一个级别的用户,用户A的权限可以去有用户B的权限;不同级别用户的权限获取;前端安全导致;界面判断用户等级后,显示的内容进行筛选,(比如,管理员用户比普通用户多一些操作界面,普通用户就没有,不是说这个功能没有只是被隐藏了。)如果数据包中出现用户的编号,用户组编号或者类型编号,就可以尝试修改看看是否有漏洞水平越权pikachu靶场中逻辑水平越权登录kobe相关信息,登录,查看个人信息时对其进行抓包,......
蜂鸟配送API接口详解与接入指南
12. **数据签名过程**:回调商户接口数据签名过程是保证数据整性和安全性的关键步骤,防止数据在传输过程中被篡改。 通过这些详细的API接口文档,开发者可以轻松地将蜂鸟配送服务整合到自己的系统中,提供高效、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小杨互联网

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值