接口防篡改方案

最新推荐文章于 2023-07-14 16:11:57 发布
最新推荐文章于 2023-07-14 16:11:57 发布
阅读量1.1k 收藏
点赞数
分类专栏: 随笔小记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghong7936/article/details/99077633
版权

加签、验签是用来解决防篡改问题的
**

生成签名

**
1、参数排序
将需要签名的内容根据参数名称进行排序,排序规则按照第一个字符的ASCII码值递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的ASCII码递增排序,以此类推。将参数内容进行排序,可以保证签名、验签双方参数内容的一致性。

****为什么会产生不一致?
签名方以 Json 格式将参数内容发送给验签方,验签方需要将 Json 格式的参数内容反序列化为对象,由于验签方可能使用不同的编程语言,不同的 Json 框架,所以会导致双方的参数顺序不一致。

2、参数拼接
将排序后的参数与其对应值,组合成“参数=参数值”的格式,并且把这些参数用&字符连接起来,此时生成的字符串为待摘要字符串。

3、摘要计算
通过摘要算法求待摘要字符串的摘要值,常用的摘要算法如MD5、SHA、HMAC等。

4、非对称加密
使用非非对称加密算法,利用客户端的私钥对摘要值进行加密,生成内容我们称之为签名。

5、发送请求
将参数内容、字符编码、签名方法(非对称加密算法)、签名发送给验签方。

**

验证签名

**
1、参数排序
将收到参数内容根据参数名称进行排序,排序规则与签名方保持一致。

2、参数拼接
拼接方式与签名方保持一致,生成待摘要字符串。

3、摘要计算
使用相同的摘要算法计算得到验签方摘要值。

4、非对称解密
使用相同的非对称加密算法,对收到的签名进行解密,得到签名方摘要值。

5、摘要比对
如果签名方摘要值等于验签方摘要值,则验签成功,否则验签失败。

攻克bug的码农
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
webapi-security:web API开放接口设计解决方案
07-24
安全设计(窃取,篡改泄漏) Java和JavaScrip互通验签及加解密(SM3, AES, 3DES) 多版本管理支持 一. 简单验签加密组件 1. 介绍说明 * BASE64 严格地说,属于编码格式,而非加密算法;双向加密(可解密) ...
智能单相电表参考设计-电路方案
04-21
这是一个全功能的单相电表解决方案,配备参数显示器、电表篡改管理、最大需求(MD)计算、双接口(射频(RF)和集成电路互连(I2C)) EEPROM数据记录和低功耗管理。该智能电表双接口EEPROM存储器的数据还能够被...
如何保证接口安全,做到篡改重放?
Javatutouhouduan的博客
04-06 4160
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
常见的保证接口数据安全8种方案
m0_37062111的博客
01-09 4505
那么有哪些常见的保证接口数据安全的方案呢? 1. 数据加密防止报文明文传输。 2. 数据加签验签 3. token授权认证机制 4. 时间戳timestamp超时机制 5. timestamp+nonce方案防止重放攻击 6. 限流机制 7. 黑名单机制 8. 白名单机制
API接口安全加密防止接口被黑客攻击
G171104的博客
06-21 1289
API密钥认证:API密钥认证是指在每个请求中加入一个API密钥,服务器端会验证该密钥是否有效。数字签名认证:数字签名认证是一种对数据进行加密和认证的方式,接口请求方对请求数据进行加密后发送给服务器,服务器端可以根据该加密数据进行认证。OAuth认证:OAuth认证可以让第三方应用程序通过API接口访问用户数据,但是需要用户授权,这可以保护用户数据的安全。API接口安全加密的主要目的是为了防止黑客攻击,保护敏感数据不被泄露。综合使用以上安全加密方式可以有效保护API接口的安全,避免被黑客攻击。
【SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 4751
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
Java实现接口篡改
javaeEEse的博客
05-06 3645
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
物联网安全主控芯片-拆机方案-综合文档
05-25
Z32HUA的安全MCU能够保护数字资产及IP设计不会遭受未来篡改技术的攻击,强大的内核和丰富的接口满足各类智能终端主控的要求。内置通过FIPS认证的硬件加密引擎,支持工业标准算法。安全MCU集成了先进的加密和物理保护...
网络安全保障方案.doc
06-09
(八) 软件容错 排查通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; 排查是否对用户输入的数据进行过滤或转义、是否在服务器端对上传的文件进行格式 限制。 二、应急响应流程 网站发生异常...
最新网络安全保障方案.doc
06-08
网络安全保障方案 一、网络安全自查 (一) 身份鉴别 1) 针对网络设备、操作系统、数据库及应用系统,排查管理账户口令复杂度是否不低 于 8 位且至少包含大小写字母、数字及特殊字符中的 3 类(须重点关注是否存在弱...
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据防止篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
Spring MVC接口数据篡改和重复提交
08-25
主要为大家详细介绍了Spring MVC接口数据篡改和重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
【Java】如何有效防止API的重放攻击?API接口防止参数篡改
DreamSun的博客
07-14 2074
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。
API接口如何防止参数被篡改和重放攻击?
这个时代,作为程序员可能要学习小程序
08-25 2934
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
api接口加密篡改
aitanxiaofeng的博客
11-30 218
只关注篡改,后台具体其它验证不关注。
API接口设计:参数篡改+二次请求
yuechuzhixing的博客
04-26 2235
API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数 为了防止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制 1.首先: 需要采用https方式对第三方提供接口,数据的加密传输会更安全,即便是被破解,也需要耗费更多时间 2.其次:需要有安全的后台验证机制【本文重点】,达到参数篡改+二次请求 主要御措施可以归纳为两点: 对请求的合法性进行校验 对请求的数据进行校验 防止重放攻击必须要保证请求仅一次有效 需要通过在请求体中携带当
接口篡改
yw_2022的博客
05-01 615
接口篡改
保证接口数据安全的10种方式
记录一些工作日常和学习
07-25 712
保证接口数据安全的10种方式
sessionstorage篡改
最新发布
01-19
然而,sessionStorage并不能提供完全的篡改保护,因为它的数据可以被修改或删除。 为了增加sessionStorage的篡改性能,可以采取以下几个步骤: 1. 使用加密算法对存储在sessionStorage中的敏感数据进行加密。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值