Spring Cloud Gateway防重放攻击实现

最新推荐文章于 2024-06-03 10:17:35 发布
最新推荐文章于 2024-06-03 10:17:35 发布
阅读量6.1k 收藏 2
点赞数
分类专栏: Java 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012899618/article/details/128715938
版权

文章目录

一、实现防重放攻击的方案

  • 使用Nonce和Timestamp: 在请求中加入一个随机数(Nonce)和当前时间戳,服务端收到请求后验证该请求的Nonce是否已经使用过并且请求的时间戳是否在合理时间范围内。

  • 使用Token: 在服务端生成一个唯一的Token,并在响应中返回给客户端,客户端在下一次请求中需要带上该Token,服务端收到请求后验证该Token是否已经使用过。

  • 使用Redis 或者 JWT: 将每次请求的信息存储在Redis中或者JWT中,服务端收到请求后验证该请求是否重复。

二、使用Nonce和Timestamp进行防重放攻击

具体实现方式如下:

import lombok.extern.slf4j.Slf4j;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.scheduling.annotation.Scheduled;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.Collections;
import java.util.HashSet;
import java.util.Set;

/**
 * @author Clang
 * @version 1.0
 * @date 2023/1/17 14:01
 */
@Component
@Slf4j
public class ReplayAttackFilter implements GlobalFilter, Ordered {

    private static final long TIMESTAMP_VALID_TIME = 5 * 60 * 1000;

    private final Set<String> usedNonceSet = Collections.synchronizedSet(new HashSet<>());

    /**
     * 每分钟执行一次
     */
    @Scheduled(cron = "0 * * * * *")
    public void clearUsedNonceSet() {
        usedNonceSet.clear();
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 从请求头中获取Nonce和Timestamp
        String nonce = exchange.getRequest().getHeaders().getFirst("nonce");
        String timestamp = exchange.getRequest().getHeaders().getFirst("Timestamp");
        // 验证Nonce和Timestamp是否合法
        if (validateNonceAndTimestamp(nonce, timestamp)) {
            // 如果合法,则放行请求
            return chain.filter(exchange);
        } else {
            // 如果不合法,则返回错误响应
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
    }

    @Override
    public int getOrder() {
        // 设置过滤器的优先级
        return -1;
    }

    private boolean validateNonceAndTimestamp(String nonce, String timestamp) {
        // 判断Nonce和Timestamp是否为空
        if (nonce == null || timestamp == null) {
            return false;
        }

        // 验证Nonce是否已经使用过
        if (usedNonceSet.contains(nonce)) {
            return false;
        } else {
            usedNonceSet.add(nonce);
        }

        // 验证Timestamp是否在合理时间范围内
        long timeStampValue;
        try {
            timeStampValue = Long.parseLong(timestamp);
        } catch (NumberFormatException e) {
            return false;
        }

        long currentTime = System.currentTimeMillis();
        if (timeStampValue < currentTime - TIMESTAMP_VALID_TIME || timeStampValue > currentTime + TIMESTAMP_VALID_TIME) {
            return false;
        }

        return true;
    }
}

usedNonceSet是一个Set类型的变量,用来存储已经使用过的Nonce值。在上面的代码中,在验证请求的Nonce是否合法时,会先判断Nonce是否已经在usedNonceSet中出现过,如果出现过,则认为该请求是重放攻击,返回错误响应。

这个usedNonceSet变量应该是在类的变量里定义并初始化的,并且需要注意的是,这个set要确保线程安全,在不同的线程中能够正确的读写。

private final Set<String> usedNonceSet = Collections.synchronizedSet(new HashSet<>());

这里把usedNonceSet 使用了Collections.synchronizedSet 包装,可以保证线程安全。

需要注意的是,这种方法的限制是有时效性的,在一定时间内重复使用的nonce是不会被拦截的。因此需要定期清空这个set,或者使用其他方式存储已使用过的nonce。

   /**
     * 每分钟执行一次
     */
    @Scheduled(cron = "0 * * * * *")
    public void clearUsedNonceSet() {
        usedNonceSet.clear();
    }

需要注意的是,这些方法都只是简单的清空set,更好的做法是能够记录每个nonce使用的时间,在超过时效性之后删除。

private static final long TIMESTAMP_VALID_TIME = 5 * 60 * 1000;

这里定义了TIMESTAMP_VALID_TIME为5分钟,即请求时间戳的有效时间范围为当前时间前5分钟和当前时间后5分钟。

需要注意的是,这个TIMESTAMP_VALID_TIME是需要根据具体场景和需求来确定的,如果设置过大,则会增加重放攻击的风险,如果设置过小,则会增加误拦截的风险。

以上方法都是定时清空usedNonceSet的方法,可以根据业务需求和资源限制进行选择。

提示:更多内容可以访问Clang’s Blog:https://www.clang.asia

Clang's Blog
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud项目如何止重复提交,重复提交幂等校验,Redis+aop+自定义Annotation实现接口
bufegar0的博客
03-27 3724
需求说明 在项目开发过程,我们也会经常遇到这种问题,前端未拦截,或者拦截失败,导致后端接收到大量重复请求,结果把这些重复请求入库后,产生大量垃圾数据。 解释下幂等的概念: 任意多次执行所产生的影响均与一次执行的影响相同 那这个听起来是问题的解决之道,访如何实现,通常有如下方式: 建立数据库索引,保证最终插入的只有一条数据; token机制,每次接口请求前先获取一个token,然后再下次请求的时候在请求的header体中加上这个token,后台进行验证,如果验证通过删除token,下次请求再次判断tok
md5的js文件,可用于前端使用和后端相同的算法加密参数,实现接口篡改
01-27
MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以止被篡改。
[Spring Cloud] (7)gateway重放拦截器
一个喜欢什么都研究一下的小小后端程序员
05-12 1078
重放攻击的必要性主要来自于网络安全中的一个核心原则:确保数据的完整性、机密性和不可否认性。重放攻击是一种常见的安全威胁,它利用网络通信的漏洞来重新发送之前捕获的通信数据,以欺骗系统执行未授权的操作。通过实施重放机制,可以显著提高系统的安全性,保护关键数据和操作免受未授权的访问和篡改。在设计系统时,应考虑潜在的重放攻击,并采取适当的措施来范。此时请求头中会增加两个信息,一个是时间戳,一个是签名。本文网关gateway微服务,vue已开源到gitee。增加nonce(签名),t(时间戳)。
SpringBoot止接口重复提交多种方法(代码示例)
最新发布
分享学习
06-03 1434
Spring Boot应用中,止接口重复提交是一个常见的需求,尤其是在处理订单、支付等关键业务时。
gateway+vue实现接口重放、篡改
白衣的博客
01-01 2607
接口的篡改、重放
Spring工程止重复提交
TanBooooo的博客
10-17 1035
Spring工程止重复提交。 解决接口在短时间内并发相同请求,造成的无效、错误、违规数据。
API接口止参数篡改和重放攻击
weixin_45915769的博客
03-08 2078
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,重放攻击是计算机世界黑客常用的攻击方
SpringCloudSpring Cloud Gateway实现接口篡改
HQ DevJ的专栏
08-05 2599
网关请求放篡改和重放
Spring Boot接口设计篡改、重放攻击详解
08-25
**基于timestamp的重放攻击** 重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
spring cloud gateway整合sentinel实现网关限流
08-25
Spring Cloud Gateway中集成Sentinel,可以实现更精细的流量控制,为微服务架构提供额外的安全保障。整合过程主要包括以下步骤: 1. **创建子工程**:首先,你需要以现有的父工程为基础,创建一个新的子工程,...
Spring Cloud Gateway重试机制的实现
08-26
Spring Cloud Gateway重试机制的实现 Spring Cloud Gateway重试机制是指在调用Http接口时,遇到失败的情况下,通过重试的方式重新请求接口,以提高系统的可靠性和稳定性。重试机制在生活中也有很多类似的事例,例如...
Spring Cloud Gateway 服务网关快速实现解析
08-25
Spring Cloud Gateway 服务网关快速实现解析 Spring Cloud GatewaySpring Cloud 微服务平台的一个子项目,属于 Spring 开源社区,依赖名叫:spring-cloud-starter-gateway。它构建于 Spring 5+,基于 Spring ...
spring cloud gateway 限流的实现与原理
08-26
Spring Cloud Gateway 限流实现与原理 Spring Cloud Gateway 是一种基于微服务架构的网关解决方案,限流是网关最基本的功能之一。限流的实现可以止大量的请求使服务器过载,导致服务不可用,也可以止网络攻击。...
Spring Cloud项目如何止重复提交(自定义注解)
FanZaiYo的博客
01-12 901
使用Redis+Aop实现,结合 Redis 来实现这个功能,我们将用户的请求信息存储在缓存中,这样就可以实时跟踪用户请求的状态,同时也可以提高系统的性能。为了限制用户在短时间内重复提交相同的请求,我们可以设置一个时间间隔来限制重复提交。在项目开发过程,我们也会经常遇到这种问题,前端未拦截,或者拦截失败,导致后端接收到大量重复请求,结果把这些重复请求入库后,产生大量垃圾数据。使用时直接在方法上使用@NoRepeatSubmit即可。直接简单粗暴,使用计时器和状态禁止几秒内点击。
Api 接口安全-篡改,重放理解总结
qq_38358436的博客
06-21 2069
篡改 为什么要篡改 http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确 举个栗子, 现在有个充值的接口, 调用给用户对应的余额 http://localhost/api/user/recharge?user_id=1001&amount=10 给指定id的用户加上10块钱的余额 如果...
【API网关】如何止API相同的数据被提交多次
RestCloud 技术支持的博客
06-13 612
通过网关对API做止重复提交的规则,如物品的ID不可重复,则可配置该规则,当识别到ID被重复提交,返回提示信息。在后端API不具备幂等性的情况下,如何止相同的数据被提交多次?1.打开API网关平台,安全设置,重复提交配置。3.把应用的API添加进规则。2.添加重复提交规则。
API接口参数篡改与重放攻击
createsboy
08-22 2369
前言 参数篡改是一种常见的黑客攻击方式,尤其是对商城等与金钱相关联的API接口,参数篡改会直接造成经济损失。重放攻击是另一种常见的黑客攻击形式,当用户的请求被嗅探或截止,如果接口未做重放攻击,劫持者可直接使用截止参数对接口进行重放共计,导致系统异常。本文所有接口以无状态接口为例,使用spring boot。 项目环境 工具:idea java环境:java8 正文 针对以上情况我们一般有哪些解决...
一种网关(服务端)止重复提交的机制
ws_dingwei的博客
10-30 2949
当前市面上解决重复提交的技术方案主要有以下几种: 通过JavaScript限制表单重复提交 通过js代码,当用户点击提交按钮后,屏蔽提交按钮或者将重复点击在指定情况下置为无效,使用户无法点击提交按钮或点击无效,从而实现止表单重复提交。 给数据库加唯一索引约束 在数据库建表的时候在ID字段添加主键约束,用户名、邮箱、电话等字段加唯一性约束。确保数据库只可以添加一条数据。 利用session进...
如何止重复提交订单
个人主页
10-09 1170
产生的原因 - 一种是由于用户在短时间内多次点击下单按钮,或浏览器刷新按钮导致。 - 另一种则是由于Nginx或类似于SpringCloud Gateway的网关层,进行超时重试造成的。 - 由于网速等原因造成页面卡顿,用户重复刷新提交页面 - 黑客或恶意用户使用 postman 等网络工具,重复恶意提交表单
Spring Cloud重放攻击 代码
05-30
下面是一个基于 Spring Cloud重放攻击的示例代码: 1.使用 JWT 验证: ```java public class JwtUtils { private static final Logger logger = LoggerFactory.getLogger(JwtUtils.class); private static final String SECRET_KEY = "YOUR_SECRET_KEY"; private static final long EXPIRATION_TIME = 86400 * 7; public static String createToken(String username) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME * 1000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception ex) { logger.error("Failed to parse JWT token: {}", ex.getMessage()); return null; } } } ``` 2.使用 Token Bucket 算法进行限流处理: ```java public class TokenBucket { private int bucketSize; private int tokens; private long lastRefillTime; public TokenBucket(int bucketSize, int tokens) { this.bucketSize = bucketSize; this.tokens = tokens; this.lastRefillTime = System.currentTimeMillis(); } public synchronized boolean tryConsume() { refill(); if (tokens > 0) { tokens--; return true; } return false; } private void refill() { long now = System.currentTimeMillis(); if (now > lastRefillTime) { int elapsedTime = (int) (now - lastRefillTime); int newTokens = elapsedTime / 1000; tokens = Math.min(tokens + newTokens, bucketSize); lastRefillTime = now; } } } ``` 3.使用缓存来存储已经处理过的请求: ```java public class CacheUtils { private static final int MAX_CACHE_SIZE = 1000; private static final int EXPIRATION_TIME = 5; // 缓存时间:5 秒 private static final LoadingCache<String, Boolean> CACHE = CacheBuilder.newBuilder() .maximumSize(MAX_CACHE_SIZE) .expireAfterWrite(EXPIRATION_TIME, TimeUnit.SECONDS) .build(new CacheLoader<String, Boolean>() { @Override public Boolean load(String key) throws Exception { return Boolean.TRUE; } }); public static boolean isRequestCached(String requestId) { return CACHE.getIfPresent(requestId) != null; } public static void cacheRequest(String requestId) { CACHE.put(requestId, Boolean.TRUE); } } ``` 4.使用 HTTPS 协议进行通信: 这部分不需要特别的代码实现,只需要配置好 SSL 证书即可。在 Spring Cloud 中,可以使用 Spring Boot 提供的自动配置来实现 SSL 配置,例如: ```yaml server: port: 443 ssl: key-store: classpath:ssl/keystore.p12 key-store-password: YOUR_PASSWORD key-store-type: PKCS12 key-alias: YOUR_ALIAS ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值