Spring Cloud Gateway防重放攻击实现

最新推荐文章于 2024-06-03 10:17:35 发布
最新推荐文章于 2024-06-03 10:17:35 发布
阅读量6.1k 收藏 2
点赞数
分类专栏: Java 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012899618/article/details/128715938
版权

文章目录

一、实现防重放攻击的方案

  • 使用Nonce和Timestamp: 在请求中加入一个随机数(Nonce)和当前时间戳,服务端收到请求后验证该请求的Nonce是否已经使用过并且请求的时间戳是否在合理时间范围内。

  • 使用Token: 在服务端生成一个唯一的Token,并在响应中返回给客户端,客户端在下一次请求中需要带上该Token,服务端收到请求后验证该Token是否已经使用过。

  • 使用Redis 或者 JWT: 将每次请求的信息存储在Redis中或者JWT中,服务端收到请求后验证该请求是否重复。

二、使用Nonce和Timestamp进行防重放攻击

具体实现方式如下:

import lombok.extern.slf4j.Slf4j;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.scheduling.annotation.Scheduled;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.Collections;
import java.util.HashSet;
import java.util.Set;

/**
 * @author Clang
 * @version 1.0
 * @date 2023/1/17 14:01
 */
@Component
@Slf4j
public class ReplayAttackFilter implements GlobalFilter, Ordered {

    private static final long TIMESTAMP_VALID_TIME = 5 * 60 * 1000;

    private final Set<String> usedNonceSet = Collections.synchronizedSet(new HashSet<>());

    /**
     * 每分钟执行一次
     */
    @Scheduled(cron = "0 * * * * *")
    public void clearUsedNonceSet() {
        usedNonceSet.clear();
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 从请求头中获取Nonce和Timestamp
        String nonce = exchange.getRequest().getHeaders().getFirst("nonce");
        String timestamp = exchange.getRequest().getHeaders().getFirst("Timestamp");
        // 验证Nonce和Timestamp是否合法
        if (validateNonceAndTimestamp(nonce, timestamp)) {
            // 如果合法,则放行请求
            return chain.filter(exchange);
        } else {
            // 如果不合法,则返回错误响应
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
    }

    @Override
    public int getOrder() {
        // 设置过滤器的优先级
        return -1;
    }

    private boolean validateNonceAndTimestamp(String nonce, String timestamp) {
        // 判断Nonce和Timestamp是否为空
        if (nonce == null || timestamp == null) {
            return false;
        }

        // 验证Nonce是否已经使用过
        if (usedNonceSet.contains(nonce)) {
            return false;
        } else {
            usedNonceSet.add(nonce);
        }

        // 验证Timestamp是否在合理时间范围内
        long timeStampValue;
        try {
            timeStampValue = Long.parseLong(timestamp);
        } catch (NumberFormatException e) {
            return false;
        }

        long currentTime = System.currentTimeMillis();
        if (timeStampValue < currentTime - TIMESTAMP_VALID_TIME || timeStampValue > currentTime + TIMESTAMP_VALID_TIME) {
            return false;
        }

        return true;
    }
}

usedNonceSet是一个Set类型的变量,用来存储已经使用过的Nonce值。在上面的代码中,在验证请求的Nonce是否合法时,会先判断Nonce是否已经在usedNonceSet中出现过,如果出现过,则认为该请求是重放攻击,返回错误响应。

这个usedNonceSet变量应该是在类的变量里定义并初始化的,并且需要注意的是,这个set要确保线程安全,在不同的线程中能够正确的读写。

private final Set<String> usedNonceSet = Collections.synchronizedSet(new HashSet<>());

这里把usedNonceSet 使用了Collections.synchronizedSet 包装,可以保证线程安全。

需要注意的是,这种方法的限制是有时效性的,在一定时间内重复使用的nonce是不会被拦截的。因此需要定期清空这个set,或者使用其他方式存储已使用过的nonce。

   /**
     * 每分钟执行一次
     */
    @Scheduled(cron = "0 * * * * *")
    public void clearUsedNonceSet() {
        usedNonceSet.clear();
    }

需要注意的是,这些方法都只是简单的清空set,更好的做法是能够记录每个nonce使用的时间,在超过时效性之后删除。

private static final long TIMESTAMP_VALID_TIME = 5 * 60 * 1000;

这里定义了TIMESTAMP_VALID_TIME为5分钟,即请求时间戳的有效时间范围为当前时间前5分钟和当前时间后5分钟。

需要注意的是,这个TIMESTAMP_VALID_TIME是需要根据具体场景和需求来确定的,如果设置过大,则会增加重放攻击的风险,如果设置过小,则会增加误拦截的风险。

以上方法都是定时清空usedNonceSet的方法,可以根据业务需求和资源限制进行选择。

提示:更多内容可以访问Clang’s Blog:https://www.clang.asia

Clang's Blog
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Spring Cloud] (7)gateway重放拦截器
一个喜欢什么都研究一下的小小后端程序员
05-12 1071
重放攻击的必要性主要来自于网络安全中的一个核心原则:确保数据的完整性、机密性和不可否认性。重放攻击是一种常见的安全威胁,它利用网络通信的漏洞来重新发送之前捕获的通信数据,以欺骗系统执行未授权的操作。通过实施重放机制,可以显著提高系统的安全性,保护关键数据和操作免受未授权的访问和篡改。在设计系统时,应考虑潜在的重放攻击,并采取适当的措施来范。此时请求头中会增加两个信息,一个是时间戳,一个是签名。本文网关gateway微服务,vue已开源到gitee。增加nonce(签名),t(时间戳)。
Spring Cloud项目如何止重复提交,重复提交幂等校验,Redis+aop+自定义Annotation实现接口
bufegar0的博客
03-27 3724
需求说明 在项目开发过程,我们也会经常遇到这种问题,前端未拦截,或者拦截失败,导致后端接收到大量重复请求,结果把这些重复请求入库后,产生大量垃圾数据。 解释下幂等的概念: 任意多次执行所产生的影响均与一次执行的影响相同 那这个听起来是问题的解决之道,访如何实现,通常有如下方式: 建立数据库索引,保证最终插入的只有一条数据; token机制,每次接口请求前先获取一个token,然后再下次请求的时候在请求的header体中加上这个token,后台进行验证,如果验证通过删除token,下次请求再次判断tok
SpringBoot止接口重复提交多种方法(代码示例)
最新发布
分享学习
06-03 1413
Spring Boot应用中,止接口重复提交是一个常见的需求,尤其是在处理订单、支付等关键业务时。
API接口参数篡改与重放攻击
createsboy
08-22 2360
前言 参数篡改是一种常见的黑客攻击方式,尤其是对商城等与金钱相关联的API接口,参数篡改会直接造成经济损失。重放攻击是另一种常见的黑客攻击形式,当用户的请求被嗅探或截止,如果接口未做重放攻击,劫持者可直接使用截止参数对接口进行重放共计,导致系统异常。本文所有接口以无状态接口为例,使用spring boot。 项目环境 工具:idea java环境:java8 正文 针对以上情况我们一般有哪些解决...
如何保证接口安全,做到篡改重放?
m0_59598029的博客
03-14 892
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口。
重放、篡改攻击的实现Java版)
Mango的博客
12-14 4399
重放、篡改攻击的实现Java版)
Web安全 【基础】 请求篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 4594
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
Gateway网关自定义拦截器的不可重复读取数据
毅香雪海的博客
01-07 4737
最近在开发gateway网关时,通过自定义拦截器对某些接口的数据进行处理,发现,无法读取到数据。经过查询,发现在Spring5的webflux编程或者普通web编程中,只能从request中获取body一次,后面无法再获取。参考网上的方法先通过全局过滤器把body先缓存起来。 这个网上有很多例子: /** * @author zhong * @date 2022/1/6 - 15:34 * */ @Configuration public class CacheBodyGlob...
Spring Boot接口设计篡改、重放攻击详解
08-25
**基于timestamp的重放攻击** 重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
spring cloud gateway整合sentinel实现网关限流
08-25
Spring Cloud Gateway中集成Sentinel,可以实现更精细的流量控制,为微服务架构提供额外的安全保障。整合过程主要包括以下步骤: 1. **创建子工程**:首先,你需要以现有的父工程为基础,创建一个新的子工程,...
Spring Cloud Gateway重试机制的实现
08-26
Spring Cloud Gateway重试机制的实现 Spring Cloud Gateway重试机制是指在调用Http接口时,遇到失败的情况下,通过重试的方式重新请求接口,以提高系统的可靠性和稳定性。重试机制在生活中也有很多类似的事例,例如...
Spring Cloud Gateway 服务网关快速实现解析
08-25
Spring Cloud Gateway 服务网关快速实现解析 Spring Cloud GatewaySpring Cloud 微服务平台的一个子项目,属于 Spring 开源社区,依赖名叫:spring-cloud-starter-gateway。它构建于 Spring 5+,基于 Spring ...
spring cloud gateway 限流的实现与原理
08-26
Spring Cloud Gateway 限流实现与原理 Spring Cloud Gateway 是一种基于微服务架构的网关解决方案,限流是网关最基本的功能之一。限流的实现可以止大量的请求使服务器过载,导致服务不可用,也可以止网络攻击。...
Http协议与表单止重复提交实战解决方案
开发猫
11-14 1919
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTT...
Redis 多规则限流和重复提交方案实现
竹林幽深
02-01 158
市面上很多介绍 Redis 如何实现限流的,但是大部分都有一个缺点,就是只能实现单一的限流,比如 1 分钟访问 1 次或者 60 分钟访问 10 次这种,但是如果想一个接口两种规则都需要满足呢,我们的项目又是分布式项目,应该如何解决,下面就介绍一下 Redis 实现分布式多规则限流的方式。ARGV = [次数,单位时间,次数,单位时间, 次数, 单位时间 ...]ARGV = [次数,单位时间,次数,单位时间, 次数, 单位时间 ...]分享技术路上的点滴,专注于后端技术,助力开发者成长,欢迎关注。
SpringCloud-Alibaba微服务架构实战教程—25请求重复提交与数据库重设计
空空说技术的博客
07-08 1107
前言 用户连续快速点击某个提交按钮,前端没有针对性处理,就会导致连续发送多次请求,假如一次命中服务器A上微服务,另一次命中服务器B上的微服务, 那么就会生成了两个内容完全相同的记录数据,只是 id号不同而已,这样数据库也出现了脏数据。 对于这样的现象,可以说是非常常见。那么在分布式系统中如何止用户的重复提交操作?——我们需要做一定的止重复提交和数据重处理。 今天就来简单的说下,在系统中如何止重复提交和对数据库进行重处理。 一、重复提交解决思路 思路:相同的请求在同一时间只能被处理一次。 如
一文读懂JWT,JWS,JWE
Java笔记虾
11-24 6351
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物,有哪些常用的场景JWT(json web token)是设计一种简洁,安全,无状态的token的实现规范rfc7519,通常用于网络请求方和网络接收方之间的网络请求认证。jwt的常用场景1.1: restful...
jwt重放攻击_JWT + ASP.NET MVC时间戳重放攻击详解
weixin_39559469的博客
12-19 313
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
解决Spring Cloud Gateway 2.x跨域时出现重复Origin的BUG
热门推荐
紫眸的博客
05-09 1万+
版本Spring Cloud :Greenwich.SR1 Spring Cloud Gateway : 2.1.1.RELEASE 现象跨域时POST请求body内容为空,报跨域失败错误 原因是Access-Control-Allow-Origin只允许有一个值,而响应头里有多个Origin 报错: The 'Access-Control-Allow-Origin' header contains multiple values "*, *", but only one is allowed.
Spring Cloud重放攻击 代码
05-30
下面是一个基于 Spring Cloud重放攻击的示例代码: 1.使用 JWT 验证: ```java public class JwtUtils { private static final Logger logger = LoggerFactory.getLogger(JwtUtils.class); private static final String SECRET_KEY = "YOUR_SECRET_KEY"; private static final long EXPIRATION_TIME = 86400 * 7; public static String createToken(String username) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME * 1000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception ex) { logger.error("Failed to parse JWT token: {}", ex.getMessage()); return null; } } } ``` 2.使用 Token Bucket 算法进行限流处理: ```java public class TokenBucket { private int bucketSize; private int tokens; private long lastRefillTime; public TokenBucket(int bucketSize, int tokens) { this.bucketSize = bucketSize; this.tokens = tokens; this.lastRefillTime = System.currentTimeMillis(); } public synchronized boolean tryConsume() { refill(); if (tokens > 0) { tokens--; return true; } return false; } private void refill() { long now = System.currentTimeMillis(); if (now > lastRefillTime) { int elapsedTime = (int) (now - lastRefillTime); int newTokens = elapsedTime / 1000; tokens = Math.min(tokens + newTokens, bucketSize); lastRefillTime = now; } } } ``` 3.使用缓存来存储已经处理过的请求: ```java public class CacheUtils { private static final int MAX_CACHE_SIZE = 1000; private static final int EXPIRATION_TIME = 5; // 缓存时间:5 秒 private static final LoadingCache<String, Boolean> CACHE = CacheBuilder.newBuilder() .maximumSize(MAX_CACHE_SIZE) .expireAfterWrite(EXPIRATION_TIME, TimeUnit.SECONDS) .build(new CacheLoader<String, Boolean>() { @Override public Boolean load(String key) throws Exception { return Boolean.TRUE; } }); public static boolean isRequestCached(String requestId) { return CACHE.getIfPresent(requestId) != null; } public static void cacheRequest(String requestId) { CACHE.put(requestId, Boolean.TRUE); } } ``` 4.使用 HTTPS 协议进行通信: 这部分不需要特别的代码实现,只需要配置好 SSL 证书即可。在 Spring Cloud 中,可以使用 Spring Boot 提供的自动配置来实现 SSL 配置,例如: ```yaml server: port: 443 ssl: key-store: classpath:ssl/keystore.p12 key-store-password: YOUR_PASSWORD key-store-type: PKCS12 key-alias: YOUR_ALIAS ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值