【Java】【通信安全】怎么保证http请求的安全性

最新推荐文章于 2023-04-21 14:24:27 发布
最新推荐文章于 2023-04-21 14:24:27 发布
阅读量3k 收藏 16
点赞数 3
分类专栏: java android javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013718730/article/details/94440881
版权
android 同时被 3 个专栏收录
310 篇文章 12 订阅
订阅专栏
javascript
106 篇文章 6 订阅
订阅专栏
java
95 篇文章 2 订阅
订阅专栏

要保证http请求的安全性,首先我们得知道,http有哪些安全隐患,再针对每个问题,寻找对策。
先有问题,才有解决方法,不要空谈技术。

假设我们的电脑上被人偷偷安装了窃听软件,或者我们使用的路由器,代理服务器被人安装了抓包软件,这样我们的ip,所有通信数据,都是可以被别人轻松捕获的。
网页源码只需打开浏览器控制台,所有人都可以看到。如果是Java代码,也可以通过反编译看到。
现在,我们的ip,通信数据,代码,完全暴漏在别人手里,我们在这样的场景下,来寻找一个安全方案。先从简单情景说起

Q:我们的登录密码可以直接被别人看到,别人只需监听一次登录请求,拿到你的密码,就可以去做任何事情
A:对密码,交易数据等涉及安全和隐私的敏感数据进行加密,这样别人就无法直接看到敏感数据了

Q:我们的用户标识userId可以直接被别人看到,别人只要使用我们的userId,就能以我们的身份去模拟操作
A:从保密敏感数据的角度来说,我们可以对userId进行加密,但实际别人仍然可以用加密后的userId和password向服务端去发请求,只是麻烦一点,不像直接拿到你的密码,不通过代码就可以直接登录应用去做任何事情
这种情况下,我们可以使用token技术,服务端登录后,并不会返回给你userId,而是返回给你一个token,这个token存储在服务端,对应你的userId,你通过token去向服务器发请求,而token是设置了有效时间的,一般为几小时或几分钟,这样即便别人知道了你的token,也只能在短时间内做破坏
token并不能保证安全,因为别人照样可以模拟你的登录请求,自己去获取token
token主要作用是用来替代userId去发请求的,从而保密敏感数据,同时由于其时效性,起到了辅助安全的作用

Q:我们来继续上面的问题,假如别人拿到了我们的token,并且立刻拿着我们的token,模拟我们的身份去做坏事怎么办
又或者,别人拿到我们加密后的密码,直接去模拟登录请求,获取新的token,再去搞破坏怎么办
A:我们可以将密码和时间戳混在一起进行加密,这样每次的加密结果都不一样,即便被截取也没法进行复用
我们的token也可以和时间戳,内容等一起加密发送,这样别人就无法知道我们使用的token是什么了
服务端返回的token,也可以是加密的,客户端再解析,这样即使被拦截,别人也不知道真实内容是什么

Q:如果我不希望被别人看到任何的数据,要怎么办
A:可以将整个请求体的数据一起加密,然后服务端去解密

Q:如果我不希望请求被别人拦截修改,要怎么办
A:加密是一种方案,加密后别人就不知道该怎么修改,但是如果别人胡乱修改,会增加服务端解密解析的难度
另一种专业的做法是,对整个请求体部分进行签名,所谓签名就是给数据生成校验码,当数据被改变时,新的数据就和校验码不匹配了
我们将签名放到请求头里面,服务端收到请求后,将签名和请求体内容进行对比,就知道请求有没有被修改,这种方式不但安全,编码实现也简单,逻辑清晰
我们也可以把整个请求体加密,再进行签名,这样就更加安全

Q:如果有人复制我的请求,拿去攻击服务器怎么办
A:服务端进行签名记录,拒绝相同签名的请求
有时我们可能确实需要连续发出内容相同的请求,这时我们把时间戳也放到请求里面,这样生成的签名就不一样了

Q:如果别人知道网页代码,可以自己去加密解密,生成签名怎么办
A:javascript和java的代码,源码都是可以直接被看到或轻松被反编译的,所以我们需要对代码进行混淆,打乱正常的代码内容,让别人无法阅读
虽然理论上混淆的代码仍然可能被推断出来,但是配合加密,签名等方案,其破解成本是极其昂贵的,基本上是安全的了

Q:https协议是什么,怎么保证服务器安全的
A:https就是http+SSL,在http的基础上添加一套SSL协议,专门用来保证http安全
SSL也是使用加密,解密,签名,校验等方式来对保证安全的,只不过它是一套专门的安全协议,有着标准完善的规范
SSL是传输层协议,它是对整个http数据包进行加密,而不是请求参数进行加密
后面我们会专门开篇文章来讲解https协议,因为https协议不需要我们自己去实现,这里不需要讲解太细

Q:加密技术要考虑这么多事情,编码起来岂不是特别麻烦
A:确实,如果各种方案都使用上,会让客户端和服务器编码都变复杂,而且会影响到服务器性能
所以一般只对关键环节才使用多种安全方案,其它地方使用一种方案即可

综上所述,我们的安全方案有token,加密(混合加密),签名,混淆,重复请求校验等
对于一般应用来说,基本上做到以下点就够了:
?代码混淆,最直接的方式,可以保护加密解密签名算法
?不直接使用userId等字段,而是有时效的临时token
?密码,token等敏感数据配合时间戳,干扰字符进行加密
?对整个请求体进行签名,防止被修改
?服务端通过签名,时间戳进行完整性,时效性和重复校验
?向权威CA机构申请SSL证书,服务器使用Https协议

ByteFlys
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Https如何保证了数据的安全?
guojiayuan002的博客
01-17 848
文章主要分析和讲解突出握手的过程 1. 一种不安全通信案例 http明文传输和下方案例中数据传输都是不安全的。 2. 数字证书 2.1 为什么要有数字证书? 对于请求方来说,它怎么能确定它所得到的公钥一定是从目标主机那里发布的,而且没有篡改过呢?亦或这请求的目标主机本身就从事窃取用户信息的不正当行为呢?这时候,我们需要有一个权威的值得信赖的第三方机构(一般由政府审核并授权的机构)来统一对外发主...
HttpClient调用接口使用&引入签名验签
weixin_42306823的博客
02-10 1112
HttpClient是一个常用的Java HTTP客户端库,可以用来发送HTTP请求并接收响应。一般再对接其他服务接口时,会需要引入签名验签机制,本文据HttpClient调用接口和引入签名验签使用示例。
如何保障HTTP请求安全性
swadian2008的博客
02-10 2162
请求体的内容:请求体中的内容由具体的请求数据构成,可以是表单数据、JSON数据、XML数据、二进制数据等。对请求体进行安全检测:可以采用一定的安全检测技术,如WAF(Web应用程序防火墙)等,对请求体进行实时监控和检测,及时发现和防范安全威胁。对请求体进行访问控制:可以采用一定的访问控制策略,对请求体进行权限控制和鉴别,只允许授权用户访问请求体数据,从而保障数据的安全性。:在使用HTTP协议时,可以对请求体进行加密,采用对称加密或非对称加密等加密方式,确保请求体数据的机密性和完整性。
最简便、最直接、最安全的java Httpclient请求
小杰杰的博客
09-03 490
import java.net.URI; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.client.utils.URIBuilder; import org.apache.http....
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
qq_740785701的博客
07-08 4263
接口签名sign规则(重点) 首先,定义appid,appsecret,nonce,timestamp。 然后,获取parmas和Body中的参数,并将两者组合成在一个字典中。 此外,根据字典的key的ASCII码升序排序,把字典格式转换为key=value&key=value形式,生成一个字符串。 在这个字符串前面加上appid和appsecret,后面加上nonce和timestamp。 对该字符串做MD5加密并大写,生成sign,sign保存为全局变量。 最后,把sign请求头中发送给服务器做鉴权
java -加密安全的java即时通信系统设计
最新发布
10-06
在设计一个加密安全的Java即时通信系统时,我们需要考虑多个关键方面,确保用户数据的隐私和安全性。以下是一些核心知识点: 1. **Java平台**:Java是一种跨平台的编程语言,适合开发分布式网络应用程序,如即时...
使用JAVA实现http通信详解
09-03
- 安全性:对于敏感信息,使用 HTTPS 协议来加密通信,增强数据安全性。 - 性能优化:考虑使用连接池、缓存策略以及合理设置超时时间等优化措施。 总之,Java 提供了多种方式实现 HTTP 通信,可以根据实际需求...
基于JAVA的安全电子商务.rar
04-25
1. **Java加密技术**:Java提供了强大的加密库,如Java Cryptography Extension (JCE),用于实现数据的加密和解密,确保敏感信息如信用卡号、密码在传输过程中的安全性。这包括对称加密(如AES)、非对称加密(如RSA...
java安全通信数字证书
11-20
总结来说,Java提供的安全通信机制包括了消息摘要、消息验证码和数字证书等技术,它们一起确保了在网络通信中的数据安全性和身份认证。通过学习这些知识,开发者可以构建更安全的Java应用程序,保护用户的隐私和信息...
Java Web技术的安全与防范.pdf
04-05
任何网络应用的安全性都很重要,Java Web技术也不例外。 2. **Java Web技术架构**:Java Web技术基于Servlet和Filter对请求进行处理,采用MVC(Model-View-Controller)设计模式,并通过XML或注解进行配置。它支持...
HttpRunner接口sign签名的4种方式
wqchibingshaonian的博客
01-20 604
HttpRunner接口sign签名的3种方式 加密请求体写成json格式,然后对json里面进行sign签名 加密请求体写在sign请求体,然后对sign里面的进行sign签名,加密后重新赋值 不需要上面两种方式的多余操作,直接对请求体进行sign签名,然后sign签名后往请求体插入值 ...
java web项目请求控制及简单漏洞防范
weixin_30888027的博客
01-05 152
背景:当时项目没用什么框架,过滤器,请求限制等都需要自己手写。 1、请求加时间戳   在后台过滤器中可以加判断,如果请求时间戳与服务器时间相差太大,可以返回异常,具体情况可以具体使用。   请求中加时间戳的示例如下:   ①form表单提交,在表单内加隐藏域,通过js代码给id赋值。 <input id="curdate" name="curdate" type="h...
java实现HTTP请求的四种方式
热门推荐
顺其自然~专栏
04-11 3万+
目前JAVA实现HTTP请求的方法用的最多的有两种: 1、通过HTTPClient这种第三方的开源框架去实现。HTTPClient对HTTP的封装性比较不错,通过它基本上能够满足我们大部分的需求,HttpClient3.1 是 org.apache.commons.httpclient下操作远程 url的工具包,虽然已不再更新,但实现工作中使用httpClient3.1的代码还是很多,HttpClient4.5是org.apache.http.client下操作远程 url的工具包,最新的; 2、通过Ht
Zhong__加密和解密
Zhong的博客
09-24 309
时间:2020.09.24 环境:Python3.7Django==3.0.8 目的: 说明: 作者:Zhong QQ交流群:121160124 欢迎加入! 非对称加密 需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(publickey,简称公钥)和私有密钥(privatekey,简称私钥)。 单向加密 又称为不可逆加密算法,在加密过程中不使用密钥,明文由系统加密处理成密文,密文无法解密。一般适合于验证,在验证过程中,重新输入明文,并经过同样的加密算法处理,得到相同的密文并被系统..
HTTP概述—请求头请求
fanfjaiyun的博客
03-03 1万+
概念:Hyper Text Transfer Protocol 超文本传输协议 传输协议: 定义了,客户端和服务器端通信时,发送数据的格式 特点: 基于TCP/IP的高级协议 默认端口号:80 基于请求/响应模型的:一次请求对应一次响应 无状态的:每次请求之间相互独立,不能交互数据 历史版本: 1.0:每一次请求响应都会建立新的连接 1.1:复用连接 请求消息数据格式: 1. 请求行 ...
HTTP 协议的安全风险
z_ssyy的博客
04-21 598
上周吴某凢和都某竹的瓜大家都吃了吧,结果前几天北京朝阳警方通报了这是一个金钱诈骗案。我读了那份通报,我直接炸开了,没想到这次的瓜里,还有第三个人,它就是中间人刘某,具体怎么诈骗的呢?整个诈骗过程可以概括成如下图,下图中的 ID_A 表示都某竹的银行卡,ID_E 表示中间人刘某的银行卡。这个诈骗案牛逼在于,不仅冒充都某竹的身份来向吴某凢索取赔偿,而且又冒充吴某凢的身份骗都某竹把退款的钱转到中间人刘某的银行卡,从而获取利益。,不仅冒充了都某竹的身份,而且冒充了吴某凢的身份;
服务器接口安全校验限流处理方案(java版)
weixin_43401380的博客
02-14 1043
java实战介绍如何实现服务端接口授权校验、ip限制、限流等安全校验。
http安全 Java_AES - HTTP安全通信实现(java
weixin_28756005的博客
02-15 372
一、概述AES是一种对称性的高级加密算法,又称Rijndael加密法。对称加密算法也就是加密和解密用相同的密钥。其网络传输流程如下:二、加密算法实现这里的实现,使用的是CBC 模式。其中数据填充处理,采用PKCS#5算法。在此模式下,私钥的长度不得少于16位,否则安全性无法保证。1、关键术语:私钥:加/解密时使用的、不能公开的内容,由加/解密双方保存在安全的位置lV向量:用于参与加密,作为初...
Java编程入门教程:跨平台特性与安全性解析
Java的安全技术确保了代码在执行时的安全性,比如通过类加载器隔离和验证代码,防止非法操作。 在Java的世界里,丰富的库和框架提供了强大的支持,让开发者可以轻松地构建复杂系统。无论是桌面应用、企业级Web应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值