如何防止API接口被未授权的客户端调用?

最新推荐文章于 2024-10-10 10:15:16 发布
最新推荐文章于 2024-10-10 10:15:16 发布
阅读量294 收藏
点赞数
分类专栏: 加密 文章标签: java 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelutai/article/details/133986931
版权
本文介绍了开发接口时常用的三种安全认证方式:基础认证(Base64编码的用户名密码)、带有accessToken的Baic认证以及动态签名(包括时间戳、nonce和HMACSHA256加密),以增强系统的安全性并防范重放和中间人攻击。
摘要由CSDN通过智能技术生成

认证
与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。今天我们就总结一下我们在开发接口时常用的三种安全认证方式。

认证方式
Baic 认证
一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。
代码如下:
codeduidaima.com

堆代码 duidaima.com

拼接 key

String key = “app_id:app_secrect”;
Map<String, String> headers = new HashMap<>();

Base64 对 key 进行加密

headers.put(“Authorization”, "Basic " + Base64.encode(key));
request.addHeaders(headers);
Map<String, Object> form = new HashMap<>();
form.put(“grant_type”, “client_credentials”);
form.put(“scope”, “write”);
request.form(form);
request.execute().body();
Baic 认证 + Token
如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
codeduidaima.com
JSONObject jsonObject = new JSONObject();
jsonObject.put(“invoiceTypeNo”,“04”);
HttpRequest httpRequest = HttpUtil.createPost(url);
headers = new HashMap<>();
headers.put(“Authorization”, "Bearer ".concat(accessToken));
headers.put(“Content-Type”,“application/json”);
httpRequest.addHeaders(headers);
httpRequest.body(jsonObject.toJSONString());
String info = httpRequest.execute().body();
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。

动态签名
在每次接口调用时都需要传输以下参数:
appKey 应用秘钥
time 当前时间戳
nonce 随机数
sign 签名
codeduidaima.com
String appKey = “qwe@2023”;
SortedMap<String, String> packageParams = new TreeMap<>();
packageParams.put(“time”, System.currentTimeMillis()+“”);
packageParams.put("nonce ", RandomStringUtils.randomNumeric(8));
String sign = createSign(packageParams, appKey);
packageParams.put(“sign”, sign);
//发送请求附带相关参数
获取签名:
codeduidaima.com

public static String createSign(SortedMap<String, String> packageParams, String appKey) {
        StringBuffer sb = new StringBuffer();
        Set es = packageParams.entrySet();
        Iterator it = es.iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String k = (String) entry.getKey();
            String v = (String) entry.getValue();
            if (StringUtils.isNotBlank(v)) {
                sb.append(k + "=" + v + "&");
            }
        }
        sb.append("key=" + appKey);
        return HMACUtil.HMACSHA256(sb.toString(),appKey);
}

HMACSHA256 加密:

codeduidaima.com

public static String HMACSHA256(String data, String key){
        try {
            Mac  sha256_HMAC = Mac.getInstance("HmacSHA256");
            SecretKeySpec secret_key = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");
            sha256_HMAC.init(secret_key);
            byte[] array = sha256_HMAC.doFinal(data.getBytes("UTF-8"));
            StringBuilder sb = new StringBuilder();
            for (byte item : array) {
                sb.append(Integer.toHexString((item & 0xFF) | 0x100), 1, 3);
            }
            return sb.toString().toUpperCase();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
}

1.服务端使用相同的方式生成签名进行对比认证,无需在网络上传输 app_key 可以防止中间人攻击
2.通过 time 参数判断请求的时间差是否在合理范围内,可防止重放攻击
3.通过 nonce 参数进行幂等性判断

https://www.duidaima.com/Group/Topic/JAVA/11927

金蝶云ScpSupRegHandler任意文件上传漏洞复现
The current road is different, love needs to distinguish between right and wrong
05-16 353
金蝶云星空管理中心ScpSupRegHandler接口存在任意文件上传漏洞。攻击者可在无需登录的情况下利用构造的文件名(如使用"../../../../"等路径穿越技巧)将恶意脚本文件上传至服务器上的预期目录,最终可导致远程执行恶意命令,控制服务器。没有人规定,一朵花,一定要成长为向日葵或者玫瑰。
API接口漏洞案例—接口授权
2301_77360081的博客
06-08 3185
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
API接口实施访问控制:缺少有效的访问控制机制,可能导致数据被授权用户访问
图幻未来的博客
02-04 489
引入会话管理机制和**缓存清理工具**以确保用户会话的有效性及时删除过期的缓取内容从而减少被劫持的可能性. 其中可选用**JWT**进行会话管理并使用**LRU (Least Recently Used) Cache**策略清除不再需要的缓存数据.采用 **基于角色的访问控制 (RBAC)** 等策略来实现细粒度的权限管理. 分配给用户的角色对应着不同级别的权限限制 , 用户只能在其所持有的角色对应的资源范围内行使权力。- 使用**JWT (JSON Web Tokens)**进行一次性令牌认证等方式。
编程必看:5大优雅接口防刷秘籍,告别恶意攻击!
weixin_49562392的博客
10-10 223
【程序视点】助力打工人减负,从来不是说说而已!后续小二哥会继续详细分享更多实用的工具和功能。大家可以把微信公众号【程序视点】设置为星标,这样就不会错过之后的精彩内容啦!如果这篇文章对你有帮助的话,别忘了【在看】【转发】【】支持下哦~
一步步实现对API的访问限制(节流)
weixin_34288121的博客
07-31 804
一步步实现对API的访问限制(节流) 如果客户端很频繁的请求服务器,会给给服务器造成很大的压力,需要对客户端API的请求,做一些限制,如Python 爬虫对服务器API的请求,对API的请求限制也是反爬虫的一个手段之一,那如何实现对API的访问的限制呢? 实现API接口 一个基本的API接口实现,没有任何的限制,客户端可以随意访问,也没有访问限制 [HttpGet] [Route("~/api...
Web API接口鉴权方式
人间世
02-28 6340
介绍web API接口的鉴权方式
通达OA授权任意文件上传及文件包含漏洞分析学习
A1andNS's Blog
08-30 3429
今年3月份通达OA爆出了文件上传和文件包含漏洞,网络上很多复现和分析的博客,今天我也来试着分析分析,据360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,所以可能比较适合代码审计的新手来练练。 0x00 漏洞概述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。 该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执
音乐API接口用于音乐API调用
04-17
音乐API接口是应用程序编程接口API)的一种,专门设计用于音乐相关的服务,如播放、搜索、推荐和获取音乐元数据。这些接口允许开发者构建音乐应用,整合音乐平台的功能,为用户提供丰富的音乐体验。 1. **API简介...
.NET 作为客户端调用WEBAPI RESTFUL服务端以及如何开发RESTFUL服务端用于客户端调用
09-23
本篇文章将详细探讨.NET作为客户端调用WebAPI RESTful服务端的方法,以及如何开发RESTFUL服务端以供客户端调用。 首先,让我们了解一下客户端如何使用.NET调用WebAPI RESTful服务端。这通常涉及以下几个步骤: 1. ...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
本案例主要涉及如何在WinForm应用中通过HttpClient调用使用OAuth2.0授权的WebAPI接口。OAuth2.0是一种广泛采用的授权框架,用于安全地授予第三方应用访问用户资源的权限,而无需共享用户凭据。 首先,让我们深入...
Java webservice cxf客户端调用demo和服务端
08-03
Java WebService CXF客户端调用和服务端的实现是企业级应用程序中常见的通信方式,它基于标准的SOAP(Simple Object Access Protocol)协议,提供了一种在分布式环境中交换信息的方法。CXF是一个开源框架,它简化了...
如何调用股票交易软件api接口
1841085904的博客
12-05 2765
随着人们的生活水平越来越高,人们可以通过公司的股票交易软件api接口来查询股票,也可以用股票交易软件api接口来了解股市,采用正规的界面可以确保数据的准确性,及时的根据股价的涨跌幅度做出一些选择,所以公司所用的股票交易软件api接口常重要,选择正确的平台可以获得良好的API接口。接下来就跟着小编一起看一看如何调用股票交易软件api接口?一般情况下,人们都会选择投资股票或者是投资基金来赚取利润,而想要查看股票的数据,就必须通过公司的API接口来查看,这个时候就需要购买API接口。股票交易软件api接口调用
web安全 - 文件上传漏洞
qq_53058639的博客
03-15 743
解释并执行了用户上传的脚本,导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈 常见的攻击方式就是攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力 案例。web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,
如何防止别人恶意攻击调用API接口
热门推荐
resilient的博客
09-27 1万+
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su...
如何防止API接口被恶意调用
靖节先生的博客
02-18 6834
如何防止API接口被恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
API接口防刷的9种方案,你fei哪一种?
田维常
12-01 584
你好,我是田哥昨天,一位朋友面试,被面试官问:接口被恶意请求,该如何处理?这个问题相对比较开放,如果确实不太清楚,自己可以假象如果你的接口被恶意攻击你会怎么办,讲清楚自己的思路就行(前提是不能瞎说,得有点道理,逻辑说得通)。在实际项目中,对于这类的问题解决方案有很多种,下面给你整理了9种。防火墙:配置防火墙规则,限制对API接口的访问频率和来源IP,防止大量无效请求。验证码:在需要保护的接口中添加...
防止API被恶意调用
qq_42888874的博客
12-18 2385
一、身份鉴定。这个可以使用Oauth2.0规范,或者带有不对称密钥加密的token,选择JWT等形式,配合身份鉴定系统来保证。 二、内容防篡改。可以使用数字签名算法来进行哈希校验,强制HTTPS通信。最新的系统可以考虑http/2。 三、 DDoS 攻击。通过设置防火墙, 控制API调用频. 率,例如协议的rate- -limit 等设置来进行沟通和控制。 四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手,主流框架都有基本的防注入设计。 五、同源策略。通过正确的配置CORS来防止异常调用,但
接口授权访问/调用测试
酷狗直播-锦凡歆的博客
05-28 4159
接口授权访问/调用测试 在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的...
授权访问-api接口
san3144393495的博客
04-05 1374
比如,正常路径是http://www.xx.com/api/user/list,而在测试授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到。比如,正常路径是http://www.xx.com/api/user/list,而在测试授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到。根据之前跑出来的授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,
如何正确地调用和处理系统API接口以获取所需数据?
最新发布
10-20
正确调用和处理系统API接口通常需要以下几个步骤: 1. **了解API文档**:首先,查阅API提供商的官方文档,了解接口的基本信息,如URL、请求方法(GET、POST等)、所需的认证信息、参数格式以及返回的数据结构。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值