对get方式的参数,如何添加签名,防止数据被篡改或泄露

最新推荐文章于 2024-07-12 14:30:00 发布
最新推荐文章于 2024-07-12 14:30:00 发布
阅读量7.5k 收藏 5
点赞数 1
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdutphp/article/details/51991738
版权


例如查询用户id为1的个人信息,一般的URL为:http://www.mydomain.com/index.php?act=get_user_info&uid=1

这种情况下查询该用户的个人信息是没有问题的,当这个链接在没有用户登录的限制的状态下也可以查询显得很危险了,因为通过修改uid=1,就可以查询uid=2,uid=3的用户信息,这会导致系统的用户信息泄露,当然我只是用查询用户信息做个例子。


下面介绍下我的算法:

在url的参数后添加新的参数:signature

链接形式:http://www.mydomain.com/index.php?act=get_user_info&uid=1&signature=bfe279945c6109d067bcd295b5189d86


这个signature是如何生成的呢?

一般是参数进行有序排列

本例中:有两个参数act和uid,构建一个数组


$data = array();
$data['uid'] = 1;
$data['act'] = 'get_user_info';


对这个参数数组根据索引升序排列,然后按照key1=value1&key2=value2的方式拼接成一个字符串

①排序

Array
(
    [act] => get_user_info
    [uid] => 1
)

②拼接字符串

$str = "act=get_user_info&uid=1";

③计算签名


// $key 密钥
$signature = md5(md5($str).$key);

将此签名添加到$str后面,http://www.mydomain.com/index.php?act=get_user_info&uid=1&signature=bfe279945c6109d067bcd295b5189d86

注意密钥需要在做好保密,他是保证数据不被篡改的核心依据


JadePlus
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Web应用安全:Get、POST参数越权.pptx
06-18
- 对GET请求的URL进行签名或加密,防止参数被轻易篡改。 - 使用HTTPS协议加密通信,保护请求数据不被中间人截取或篡改。 - 定期进行安全审计和渗透测试,发现并修复潜在的越权漏洞。 总的来说,理解和防范Get、POST...
web应用接口开发参数签名方式(二)
将PHP Web开发进行到底
11-27 1107
之前写过一篇文章《web应用接口开发参数签名方式(一)》(网址:http://www.oicto.com/web-api-sign-key-a/),介绍了一种签名方式。这里再给介绍一种签名方式,是我在工作中与各平台商(有去哪网、远帆票务、天时同城等)合作过程中,通过综合整合,提炼出来的一种方式: 接口通信方式 平台与合作伙伴平台通过CURL(post)方式进行数据的交互。传输数据统一采用u
校验请求签名
qq_49278026的博客
07-23 1839
springboot的拦截器实现对所有API接口校验签名、是否超时、请求是否重复。防止发送的请求被篡改,导致后进行非正常操作
接口安全设计之防篡改和防重放
最新发布
m0_61869253的博客
07-12 1791
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
C#不一样的生成随机字符串
网络Online
04-14 265
///<summary>From:www.uzhanbao.com ///生成随机字符串 ///</summary> ///<param name="length">目标字符串的长度</param> ///<param name="useNum">是否包含数字...
HttpClient调用接口使用&引入签名验签
weixin_42306823的博客
02-10 1156
HttpClient是一个常用的Java HTTP客户库,可以用来发送HTTP请求并接收响应。一般再对接其他服务接口时,会需要引入签名验签机制,本文据HttpClient调用接口和引入签名验签使用示例。
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 761
签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数中加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求中添加签名字符串和时间戳参数,发送给服务器。
http接口签名机制
Monten_Cristo的博客
06-26 2701
第三方接口
Powershell 脚本数字签名实现方法
09-21
数字签名不仅能确认脚本的来源,还能防止脚本被非法篡改。 #### 二、准备工作:获取证书 为了给Powershell脚本进行数字签名,首先需要获得一个数字证书。数字证书是一种电子文档,用于证明身份,并且是数字签名的...
Go-GolangHttpAPI签名验证工具包提供对API请求的签名生成签名校验等工具类
08-13
- **时间戳**:添加时间戳可以防止重放攻击,过期的请求签名将被视为无效。 - **参数限制**:只对必要的参数进行签名防止恶意参数的注入。 5. **扩展性与自定义** - 工具包可能提供了扩展接口,允许用户自定义...
PHP下SSL加密解密、验证、签名方法(很简单)
10-23
如果验证失败,则数据可能被篡改签名是伪造的。 此外,本文还提到了RSA加密算法。RSA是一种非对称加密算法,它使用一对密钥,一个用于加密(公钥),另一个用于解密(私钥)。RSA算法不仅用于加密解密,还可以...
Android之RSA加密解密签名验签(亲测可用)
05-11
- **签名**:使用私钥对数据进行签名,生成一个数字签名,证明数据未被篡改。 ```java Signature signature = Signature.getInstance("SHA256withRSA"); signature.initSign(privateKey); signature.update...
http接口请求参数签名工具类的实现和测试代码
动感超人的专栏
09-14 4810
http接口请求参数签名工具类的实现和测试代码,包括测试例子,在接口开发中可以直接使用和参考,保证数据不对篡改的一种机制。
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 5036
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
HTTP的GET请求RUL保留字处理方式(多个解决方案)
kman2010的博客
06-07 1121
背景: 最近花了一天在处理一个生产环境问题, 客户(发送数据):通过HTTP的GET请求,传输参数中带有“+”加号。 服务(接收数据):“+”加号变为空格。 因为是签名数据,导致服务验证签名不通过,算比较严重的问题。   解决问题示例(多个解决方案): 示例1(请求url的参数采用直接拼装的方式)(失败): package com.qhfax.test; impor...
Get请求和Post请求
小强不砍树的博客
09-13 695
Get请求和Post请求都是HTTP协议中的两种常见请求方法,底层都是TCP/IP协议,用于客户与服务器之间的数据传输。
【日常业务开发】关于接口对接涉及的参数签名规则以及HttpClient、HttpUriRequest
qq_45248284的博客
10-11 285
关于接口对接涉及的参数签名规则以及网络的HttpClient、HttpUriRequest
springboot 接口加签验签常见的几大问题及解决方案
路西法Lucifer
10-14 2623
springboot接口验签遇到的常见的几种问题以及解决办法: 1、request.getInputStream()不能重复读取 2、验签接口对body也参与加密,但是文件上传接口,相同参数每次产生的签名不一样 3、用request包装对象后,接口的MultipartFile参数 读取为空,但过滤器中可以读取到是有值的
使用postman对请求自动加签名 拿来即用
u011786674的博客
12-02 1487
PostMan 自动加签 拿来即用 对post 请求中参数进行排序,加签,再赋值给参数sign 1、打开 Pre-request Script 窗口,写入代码 2、post请求参数配置 3、代码如下 let param = request.data; //post 参数 //排序 param = objSort(param); var paramStr = ""; var flag = false; var time = (new Date()).getTime().to.
Android 签名公钥与加解密实战指南
"Android 获取签名公钥和公钥私钥加解密的方法" 在Android开发中,有时我们需要获取应用的签名公钥,并使用公钥进行数据的加密或解密操作...同时,私钥应妥善保管,仅在必要的解密过程中使用,以防止数据被恶意篡改
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值