HTTP接口安全机制之参数签名

于 2020-07-19 21:16:54 发布
阅读量1.0k 收藏 2
点赞数
分类专栏: 接口测试专栏 文章标签: http 接口 安全 后端 测试工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waverlyc/article/details/107451544
版权

在上一篇的
HTTP接口安全机制之用户认证
的内容中,解决了身份认证和用户名密码安全传输的问题.

用户名和密码没有泄露,用户在系统中进行各项操作就一定安全了吗?

不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。
例子:xx 网站的支付接口
http://www.example.com/sell/detail?buyquantity=1&subtotal=0
一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改?

1)对参数内容进行加密传输—让不法分子看不到参数及其值的明文
2)参数签名—允许不法分子修改参数,但是修改后无效

接下来,主要给大家讲解一下参数签名:
了解参数签名之前,先了解一下数字签名。

数字签名的过程:

消息原文+hash --原文摘要 + 私钥加密 ----数字签名
发送端: 消息原文 + 数字签名
接收端: 消息原文 + hash --预期原文摘要
收到的数字签名–公钥解密 —实际原文摘要
验证:比较两个摘要,如果消息原文没有被修改,并且是正确的发送者(合法请求来源)发送的消息,则两个摘要相等,否则不相等。

参数签名
接口安全中的数字签名:
例子:http:// www.example.com/sell/detail?buyquantity=1&subtotal=0
消息原文:buyquantity=1&subtotal=0
私钥和公钥:需要调用者像服务端申请appkey=woniusales1.3 appsecrect= woniusales1.3123(自己知道)
生成签名过程:

1)对传参进行排序,按参数名称进行排序(升序、降序、其他顺序) 按升序:buyquantity=1&subtotal=0
2)去掉其中的&符号:buyquantity=1subtotal=0
3)在2)中串进行hash运算
----md5签名:sign=2619f3d60e253ec6d63dd77d9c266e93
4) 将签名参数附加在原始请求后面,发送请求 http://www.example.com/sell/detail?buyquantity=1&subtotal=0?sign=2619f3d60e253ec6d63dd77d9c266e93

接收端验证签名:

1)接收到请求
http://www.example.com/sell/detail?buyquantity=1&subtotal=0?sign=2619f3d60e253ec6d63dd77d9c266e93
2)查看是否有签名参数,有则继续3),无则证明本次请求无效,不予以处理
3)服务器端按照与客户端协商好的签名规则对收到的参数(除去sign)进行同样的运算 Sign_new =2619f3d60e253ec6d63dd77d9c266e93
4)比较两个签名 Sign == Sign_new ?
如果相等,说明参数合法,服务器可以继续处理 如果不相等,说明参数被修改过,服务器不予以处理

这里只能验证参数是否被修改,无法验证请求来源是否合法,如果需要验证请求来源的合法性,需要加上调用者的私钥,后续生成签名流程与前面一致(更严谨一点,可以将签名的hash算法换成某种加密算法,而这里的appkey和appsecrect就是对应的加密秘钥和解密秘钥,当然发送方要负责保管好自己的私钥):
http://www.example.com/sell/detail?buyquantity=1&subtotal=0&appkey=woniusales1.3

服务器收到请求需要先验证有没有sign参数和appkey参数,然后验证appkey参数是否是已分配过的有效key,不是则无效,进而实现了对非法请求来源的校验。

如果要进一步防止请求被拦截重放,可以在请求参数里面加上当前请求的时间戳,而在服务器端定义一个过期时间T
http://www.example.com/sell/detail?createtime=1564567890&buyquantity=1&subtotal=0?appkey=woniusales&sign=0fd708bc44ee8da7991d24be65f0472a

服务器收到请求时出了需要校验是否有sign和appkey参数,还需要检验时间戳合法性,服务器收到请求的时间Time2 需要满足Time2 - createtime < T ,否则证明请求过期无效,服务器不予以处理。
这里的过期时间T越短越能防止请求被拦击重发,越长约能兼容网络延时。
时钟要求:通信各方的计算机时钟保持同步。

最后,安全是相对的,没有绝对安全。

无论你在学习上有任何问题,重庆蜗牛学院欢迎你前来咨询,联系QQ:296799112

重庆蜗牛学院
关注
专栏目录
博客
ES5中基于原型链实现继承
09-17 301
一、ES6中的继承在ES6中提出了class的概念,同时也有了extends继承。但是ES6中的class以及extends都只是语法糖,其底层实现依然是用过原型链来实现的。我们先看一段ES6中的代码。class Person{ constructor(name,age) { this.name=name; this.age=age; } run(){ console.log("running") } show(p){ console.log(`我叫${this.name
博客
JavaScript-详解原型和原型链
09-17 261
1、原型的意义JavaScript这门语言在设计之初并没有类的概念(目前也是),那么没有类是如何有对象的呢?回答这个问题之前,我们想先一下,类在创建对象的过程中发挥了什么作用呢?通过面向对象的学习,我们知道类提供的是数据模板,所谓的对象就是通过该数据模板生成的数据而已。而数据模板里面包含两个部分,变量和函数。但是变量和函数是有区别的,变量是对象私有的,换句话说每一个对象的属性都是自己独享的,但是函数应该是所有对象所共享的。那么按照这个思想,我们能否通过函数来实现一个伪类型呢?比如:我要定义一个学生类,具
博客
JavaScript中的上下文环境
09-17 1285
1、什么是上下文上下文(Context)是程序运行的环境,在上下文中存储了一段程序运行时所需要的全部数据。在面向对象的编程语言中,上下文通常是一个对象,所以也被称为上下文对象。在之前的课程中我们讲到过,程序中的变量存储在栈区,准确的说变量存储在了上下文对象中,而上下文对象保存在了栈中。开始执行一段程序时,它的上下文对象就会被创建,并被推入栈中(入栈);程序执行完成时,它的上下文对象就会被销毁,并从栈顶被推出(出栈)。栈结构是一种先进先出的数据存储结构,通过栈这种特殊的数据结构可以确保程序中的变量在被
博客
GIT从入门到入土(IDEA集成)
07-26 595
一、源起代码,对于软件公司而言是最为宝贵的资产。如何保管代码才是是最高效的呢?假设我们不使用任何工具,各自为政,那么将会至少存在以下几个问题:团队成员因为硬盘损坏或者离职等原因导致代码丢失,则该成员的代码丢失团队成员无法得到其他成员的代码。需要定期花时间将自己的代码与其他成员合并(两两合并),以便于得到完整的代码,项目一旦复杂,这个工作量极大如果项目开发过程中,发觉编码思路出错,需要将代码回退到三天前的状态,则需要全部重写项目上线后,发觉存在一个低级bug,需要确认这个bug谁写的(然后…)
博客
JavaScript接入百度地图API
07-04 1219
一、百度地图API接入1、搜索百度地图开发平台2、注册百度账号3、登陆并申请成为开发者4、在百度地图开发平台的首页选择控制台,在控制台中创建应用创建好应用以后就能在控制台我的应用中看到这个应用,其中最重要的是AK,这是百度地图分配给我们应用的一个专用的秘钥,必须使用秘钥才能访问百度地图API。二、在HTML中使用百度地图API1、在html中引入百度地图js文件<script type="text/javascript" src="http://api.map.baidu.com/
博客
Hibernate使用教程(三)
06-22 755
Hibernate查询一、SQL查询SQLQuery是Hibernate提供的SQL查询对象(5.2以前)NativeQuery是Hibernate提供的SQL查询对象,通过sql语句执行查询,可查询一个集合或者一个对象。(5.2以后)使用过程:创建NativeQuery 对象:NativeQuery query=session.createNativeQuery(sql,Class c);第一个参数sql:表示本次查询执行的sql语句第二个参数Class:表示本次执行查询结果封装的实体类对
博客
Shiro认证和授权(下)Shiro+JWT在前后端分离项目中实现认证授权
05-17 540
传统Session认证的弊端在上节课中我们使用的Shiro进行用户认证,内部通过是Session识别Subject,服务器识别依赖JSESSIONID的Cookie。但是在前后端分离的项目中,前端项目会单独运行挂载另外一个服务器中和后端项目的服务器不同。前端向后端发送请求时是跨域的无法携带JSESSIONID的Cokie的,就会导致每一个请求都是一个新的Session。问题的根源在传统的会话跟踪技术(Session+Cookie)存在弊端:1.跨域问题2.集群问题那么必须找一个新的技术来实现会话跟踪
博客
Shiro认证和授权(上)基于Session的认证和授权
05-06 700
一、ShiroShiro是堡垒的意思,是一个身份认证和权限校验框架。通常来说在管理系统中权限是必不可少的一部分。公司所有的人都在同一个系统上进行操作,但是并不是所有的人都具备相同的权利。那么就需要在系统中将每个人所拥有的的权限明确的标识出来并同时在后端进行校验。权限系统按照颗粒粒度分为:按钮级别权限(决定某个用户能做什么不能做什么)数据级别权限(决定用户在能做这件事的前提下,能对哪些数据做这件事)要实现权限系统分为两个步骤:1.所见即所得我们需要在系统的界面层面,将用户所具备的菜单和按钮给用户
博客
Spring+SpringMVC+Mybatis开发
03-26 437
一、SpringMVC框架相关1.1 SpringMVC的核心组件SpringMVC的核心组件:1、前端控制器DispatcherServlet​ 作用:接受请求,响应结果,相当于转发器,该组件可以降低耦合度2、处理器映射器HandlerMapping​ 作用:根据请求的URL查找Handler3、处理器适配器HandlerAdapter​ 作用:按照特定的规则去执行Handler4、处理器Handler​ 作用:按照要求编写Handler5、视图解析器View Resolver​
博客
基于注入式木马病毒(浏览器绑架)实现及防御方法的研究
03-16 3755
基于注入式木马病毒(浏览器绑架)实现及防御方法的研究申明:​ 本文章重在对技术的研究和讨论,为学开发的同学提供一种实现思路,为学习测试的同学提供一个软件安全测试的方向。如有读者通过本文进行一些个人篡改,及进行非法途径操作等,与蜗牛学院以及作者无关。前言:​ 在蜗牛学院学习的同学都知道,每天讲师授课之后都会将当天的授课视频上传到我们的在线课堂(www.woniuxy.com),学生只要登录进去就可以回看之前老师讲课的视频,从而进行复习。随着来我们蜗牛学院学习的同学越来越多,但很多刚入校的同学对电脑操作
博客
Seata分布式事务实践(纯干货附完整代码)
03-15 2309
文章目录一 分布式事务解决方案1.1 XA协议1.2 两阶段提交(2PC)与三阶段提交(3PC)1.3 TCC补偿机制1.4 MQ异步确保型策略1.5 最大努力通知型1.6 各种方案选型二 Seata基础2.1 什么是Seata2.2 Seata的工作原理三 Seata安装3.1 Seata的下载3.2 Seata的配置3.3 数据库建表3.4 启动服务四 Seata的AT模式4.1 AT模式的原理4.2 AT模式应用一 分布式事务解决方案1.1 XA协议常见的分布式解决方案如下:两阶段提交型三
博客
微服务项目到底如何分模块
02-26 3808
企业级项目结构封装释义如果你刚毕业,作为Java新手程序员进入一家企业,拿到代码之后,你有什么感觉呢?如果你没有听过多模块,分布式这类的概念,那么多半你会傻眼了。为什么一个项目会有这么多个子项目,这个项目里为何没有版本,这个parent是指向啥?今天我们模拟真实企业场景,来让大家掌握一些项目架构方面的知识。前提假设我们是同一家公司woniu科技,这家公司有5个开发小组,其中3个小组负责开发运营电影票务网站,另外2个小组开发运营外卖网站。思考那么从技术管理的角度,几个项目组之间需要有哪些层面上的相
博客
认真的解释JDK8函数式编程
02-26 606
我是认真的在解释JDK8函数式编程本文不讲解JDK8函数式编程的具体API,而是解释函数式编程的概念。但是弄懂原理是学习API的前提,纲举目张才能事半功倍。众所周知,JDK8引入了函数式编程。什么是函数式编程呢?为何需要函数式编程呢?认知决定高度。首先函数式编程是与面向对象编程一个层级的概念。任何Java程序员都不可能不知道面向对象编程OOP。OOP的口号是“万物皆对象”。什么是对象呢?就是现实中一个东西在编程领域的投射。对象有属性,有方法。属性表示数据,方法表示行为。对象可以用来表示任何事物,非常
博客
Hibernate5.0使用教程(二)
02-04 447
Session对象Session对象是Hibernate中的重要对象,它表示了Hibernate与数据库的会话,是对JDBC Connection的封装,通过该对象我们可以执行增、删、改以及查询单个对象的功能。Session缓存:一级缓存在 Session 接口的实现中包含一系列的 Java 集合, 这些 Java 集合构成了 Session 缓存。 只要 Session 实例没有结束生命周期, 且没有清理缓存,则存放在它缓存中的对象也不会结束生命周期,位于缓存中的对象称为持久化对象, 它和数据库中的
博客
Hibernate5.0使用教程(一)
02-04 762
一、Hibernate简介ORM:对象关系映射(英语:(Object Relational Mapping,简称ORM,或O/RM,或O/R mapping),是一种程序技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换。Hibernate:Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的orm框架,hibernate可以自动生成SQL语句,自动执行,使得Java程序员可以随心所欲的使用对象编程思维
博客
分库分表中间件-Mycat
01-19 458
MyCat笔记一、MyCat简介Mycat 是一个开源的分布式数据库系统,但是由于真正的数据库需要存储引擎,而 Mycat 并没有存储引擎,所以并不是完全意义的分布式数据库系统。mycat只能作为一个数据库中间件,用于在数据库集群中实现分表、读写分离、主从复制。以下通过两张图简单的介绍一下mycat的工作方式。在以往的应用中,应用程序直接与数据库进行连接,将命令发送给数据库,由数据库进行处理并响应结果。如果使用mycat作为数据库中间件,在mycat中可以进行主从、分表等等的配置,那么应用程序将不再
博客
Redis持久化机制详解
12-28 294
redis的两种持久化方式对比​ redis支持两种持久化方式:数据快照:以数据快照的形式将数据状态进行保存,存储结构简单,关注的是数据本身;日志文件:以日志文件的形式将数据操作过程进行保存,存储结构复杂,关注数据操作过程;​ redis支持以上两种持久化方式:数据快照(RDB)、日志文件(AOF)。RDB​ redis的RDB方式持久化有三种方式:save指令、bgsave指令、通过配置自动持久化。RDB方式的相关配置vim redis-6380.confport 6380
博客
使用Nexus搭建Maven私服
12-28 806
搭建maven私服nexus的安装及配置​ 使用nexus工具来搭建maven私服。nexus有两个大版本:2.*,3.*。​ 下载nexus:https://www.sonatype.com/download-nexus-repo-oss,下载时请选择OSS版本(免费)。​ nexus的安装:​ nexus是一个压缩版的软件,解压即可使用,解压目录中不能有中文和空格。​ 环境变量的配置:​ 在用户变量的path中添加:nexus的解压目录\nexus-3.9.0-01-win64
博客
MySQL索引-索引优化详解
12-07 336
建表以及插入数据CREATE TABLE student(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(20),age INT,address VARCHAR(20),idcard VARCHAR(20));INSERT INTO student VALUES (NULL,‘小红’,18,‘重庆’,‘a234’);INSERT INTO student VALUES (NULL,‘雷神’,28,‘北京’,‘fd332’);INSERT IN
博客
SpringBoot-图文教程-自定义SpringBootStarter
12-07 430
相关配置和注解@Configuration 标记该类为一个配置类@ConditionalOnXxx 指定条件成立后该配置类才会生效@EnableConfigurationProperties(XxxProperties.class)//把属性类放入IOC@Bean 给容器添加组件@ConfigurationProperties(prefix = “前缀”) 绑定配置类路径下:META-INF/spring.factories 加载自动配置类规则:springboot把场景启动器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值