java安全入门篇之接口验签(原创)

最新推荐文章于 2024-05-11 14:45:08 发布
最新推荐文章于 2024-05-11 14:45:08 发布
阅读量342 收藏
点赞数
文章标签: java 数据库 操作系统
原文链接:http://www.cnblogs.com/WUXIAOCHANG/p/10544569.html
版权

文章大纲

一、加密与验签介绍
二、接口验签实操
三、项目源码下载

 

一、加密与验签介绍

  大多数公共网络是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被截获的、篡改、重放(重发)的。因此我们需要考虑以下几点内容:

  1. 防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口)
  2. 防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改)
  3. 防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)
  4. 防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等)

二、接口验签实操

1. 实操说明

  接口加密与验签的方法有非常多,比如RSA(后期进行讲解),基于token等方式,而对于普通项目,我认为最重要的是防伪装攻击、防篡改攻击、防重放攻击。因为接下来的实操,主要围绕以下几点进行。

2. 逻辑讲解

客户端操作
(1)用户登录成功后,会接收到对应的key值和key过期时间,该key是经过32位小写加密,且编码格式为UTF-8
(2)接口请求时,将请求的参数,通过key-value方式进行字典升序,且编码成UTF-8形式
(3)将key值拼接在升序且编码后的字符串前面,进行MD32位小写加密,其编码成UTF-8形式形成签名,连同请求参数一同发送至后台
(4)退出登录时,需要通知后台失效该用户的key
(5)补充说明1:对于登录接口,如果检测到用户账号密码错误,则判断错误次数后,在一定时间内进行登录禁止,如果登录禁止解除后,用户再次出现错误,则延长限制时间
(6)补充说明2:对于无需登录接口,需要限制客户端请求次数,进行接口防刷保护

服务端操作
(1)当用户登录成功时,生成与该用户对应的key值返回给用户端,同时将id与key缓存在redis中
(2)当接收到请求时,根据请求id去redis查询对应key是多少,查不到则代表没有请求权限,将该用户系统信息,请求项目名、接口名,请求时间、错误类型(用户信息不正确/参数与签名不一致)存进redis(缓存进磁盘),当ip错误次数超过一定次数后,限制ip访问项目
(3)将key和请求参数按客户端同样方式进行签名,与请求的sign进行比较
(4)如果验签不一致,将该用户系统信息,请求项目名、接口名,请求时间、错误类型(用户信息不正确/参数与签名不一致)存进redis,当ip错误次数超过一定次数时,限制ip访问所有项目,若验签通过,则进行接口放行,且将用户系统信息,请求项目名、接口名,请求时间缓存进日志中(存进磁盘)

Redis参数需记录信息
1.用户信息:id,用户key,客户端请求系统信息
2.验签错误信息:用户系统信息,请求项目名、接口名、请求时间、错误类型(用户信息不正确/参数与签名不一致)

日志缓存信息
接口请求成功信息:用户系统信息,请求项目名、接口名,请求时间

3.代码讲解

用户登录成功、生成key参数

//模拟用户登录成功
public String getMd5Key() { return "de456878b58568e29773e6a53b39d6ef"; }

获取客户端信息

/**
 * 获取客户端的信息
 * @author 吴晓畅
 *
 */
public final class SystemUtils { /** * 获取访问者IP * 在一般情况下使用Request.getRemoteAddr()即可,但是经过nginx等反向代理软件后,这个方法会失效。 * * 本方法先从Header中获取X-Real-IP,如果不存在再从X-Forwarded-For获得第一个IP(用,分割), * 如果还不存在则调用Request .getRemoteAddr()。 * @param request * @return */ public String getIpAddr(HttpServletRequest request) { String ip = request.getHeader("X-Real-IP"); if (ip!= null && !"".equals(ip) && !"unknown".equalsIgnoreCase(ip)) { return ip; } ip = request.getHeader("X-Forwarded-For"); if (ip!= null && !"".equals(ip) && !"unknown".equalsIgnoreCase(ip)) { // 多次反向代理后会有多个IP值,第一个为真实IP。 int index = ip.indexOf(','); if (index != -1) { return ip.substring(0, index); } else { return ip; } } else { return request.getRemoteAddr(); } } /** * 获取来访者的浏览器版本 * @param request * @return */ public String getRequestBrowserInfo(HttpServletRequest request){ String browserVersion = null; String header = request.getHeader("user-agent"); if(header == null || header.equals("")){ return ""; } if(header.indexOf("MSIE")>0){ browserVersion = "IE"; }else if(header.indexOf("Firefox")>0){ browserVersion = "Firefox"; }else if(header.indexOf("Chrome")>0){ browserVersion = "Chrome"; }else if(header.indexOf("Safari")>0){ browserVersion = "Safari"; }else if(header.indexOf("Camino")>0){ browserVersion = "Camino"; }else if(header.indexOf("Konqueror")>0){ browserVersion = "Konqueror"; } return browserVersion; } /** * 获取系统版本信息 * @param request * @return */ public String getRequestSystemInfo(HttpServletRequest request){ String systenInfo = null; String header = request.getHeader("user-agent"); if(header == null || header.equals("")){ return ""; } //得到用户的操作系统 if (header.indexOf("NT 6.0") > 0){ systenInfo = "Windows Vista/Server 2008"; } else if (header.indexOf("NT 5.2") > 0){ systenInfo = "Windows Server 2003"; } else if (header.indexOf("NT 5.1") > 0){ systenInfo = "Windows XP"; } else if (header.indexOf("NT 6.0") > 0){ systenInfo = "Windows Vista"; } else if (header.indexOf("NT 6.1") > 0){ systenInfo = "Windows 7"; } else if (header.indexOf("NT 6.2") > 0){ systenInfo = "Windows Slate"; } else if (header.indexOf("NT 6.3") > 0){ systenInfo = "Windows 9"; } else if (header.indexOf("NT 5") > 0){ systenInfo = "Windows 2000"; } else if (header.indexOf("NT 4") > 0){ systenInfo = "Windows NT4"; } else if (header.indexOf("Me") > 0){ systenInfo = "Windows Me"; } else if (header.indexOf("98") > 0){ systenInfo = "Windows 98"; } else if (header.indexOf("95") > 0){ systenInfo = "Windows 95"; } else if (header.indexOf("Mac") > 0){ systenInfo = "Mac"; } else if (header.indexOf("Unix") > 0){ systenInfo = "UNIX"; } else if (header.indexOf("Linux") > 0){ systenInfo = "Linux"; } else if (header.indexOf("SunOS") > 0){ systenInfo = "SunOS"; } return systenInfo; } /** * 获取来访者的主机名称 * @param ip * @return */ public String getHostName(String ip){ InetAddress inet; try { inet = InetAddress.getByName(ip); return inet.getHostName(); } catch (UnknownHostException e) { e.printStackTrace(); } return ""; } /** * 命令获取mac地址 * @param cmd * @return */ private String callCmd(String[] cmd) { String result = ""; String line = ""; try { Process proc = Runtime.getRuntime().exec(cmd); InputStreamReader is = new InputStreamReader(proc.getInputStream()); BufferedReader br = new BufferedReader (is); while ((line = br.readLine ()) != null) { result += line; } }catch(Exception e) { e.printStackTrace(); } return result; } /** * * * * @param cmd * 第一个命令 * * @param another * 第二个命令 * * @return 第二个命令的执行结果 * */ private String callCmd(String[] cmd,String[] another) { String result = ""; String line = ""; try { Runtime rt = Runtime.getRuntime(); Process proc = rt.exec(cmd); proc.waitFor(); // 已经执行完第一个命令,准备执行第二个命令 proc = rt.exec(another); InputStreamReader is = new InputStreamReader(proc.getInputStream()); BufferedReader br = new BufferedReader (is); while ((line = br.readLine ()) != null) { result += line; } }catch(Exception e) { e.printStackTrace(); } return result; } /** * * * * @param ip * 目标ip,一般在局域网内 * * @param sourceString * 命令处理的结果字符串 * * @param macSeparator * mac分隔符号 * * @return mac地址,用上面的分隔符号表示 * */ private String filterMacAddress(final String ip, final String sourceString,final String macSeparator) { String result = ""; String regExp = "((([0-9,A-F,a-f]{1,2}" + macSeparator + "){1,5})[0-9,A-F,a-f]{1,2})"; Pattern pattern = Pattern.compile(regExp); Matcher matcher = pattern.matcher(sourceString); while(matcher.find()){ result = matcher.group(1); if(sourceString.indexOf(ip) <= sourceString.lastIndexOf(matcher.group(1))) { break; // 如果有多个IP,只匹配本IP对应的Mac. } } return result; } /** * @param ip * 目标ip * @return Mac Address * */ private String getMacInWindows(final String ip){ String result = ""; String[] cmd = {"cmd","/c","ping " + ip}; String[] another = {"cmd","/c","arp -a"}; String cmdResult = callCmd(cmd,another); result = filterMacAddress(ip,cmdResult,"-"); return result; } /** * * @param ip * 目标ip * @return Mac Address * */ private String getMacInLinux(

转载于:https://www.cnblogs.com/WUXIAOCHANG/p/10544569.html

weixin_30291791
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
接口安全设计之接口验签
xlj_bear的博客
04-02 497
最近接到一个需求,在海外客户还款之前,都是通过一个还款链接去还款,但是还款链接内没有任何的客户信息,所以需要还款之前,进入一个前置信息确认页面,就需要后端先提供一个查询接口给前端,但是需要参数明文传递给前端,其中包含订单号,金额及还款类型。在原本的请求链接不变的情况下,加一个sign参数,针对当前参数进行签名,在请求后端的时候,需要先验证签名,如果验签不通过,则直接返回error,否则认定参数没有被修改,继续生成还款链接。当请求到达后端之后,去查询当次请求的参数,然后去生成真实的还款链接给客户还款。
Java 实现RSA 签名/验签与加密解密
01-02
Java作为一种广泛使用的编程语言,提供了强大的安全机制,其中包括RSA算法。RSA是一种非对称加密算法,以其发明者Ron Rivest、Adi Shamir和Leonard Adleman的名字命名。这种算法基于大整数因子分解的困难性,被广泛...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7932
java sign签名认证
Java接口sign签名和sign验签处理
最新发布
qq_44749121的博客
05-11 321
1.Java接口sign签名工具类。
接口验签规则
上善若水
12-01 526
加签验签,发送消息方,对消息加签名;接受消息方,验证签名是否正确。
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 5382
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 4819
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
JAVA实现RSA签名、验签
Smilelfq的专栏
09-02 2600
生成签名的时候将需要传递的参数bean通过BaseHelper.sortParamAll(bean)转成K=V&K1=V1......的形式,然后调用Rsa.sign()方法即可生成签名。验签的时候获取到传递过来的参数json串(jsonParams),同样将业务参数通过BaseHelper.sortCheckParam(jsonParams)转成K=V&K1=V1......的形式(剔除sign参数),然后调用Rsa.doCheck()方法验证签名是否通过。2、使用私钥进行签名。3、使用公钥验证签名。
Java Http接口加签、验签操作方法
09-01
Java Http接口加签、验签操作是网络安全中常见的方法,用于确保数据在传输过程中未被篡改,保证接口调用的可靠性和安全性。在电商、支付等敏感业务中,这种做法尤为重要。 1. 业务背景 在处理电商或支付类接口时,...
java 数字签名验签
04-27
总之,这个"java 数字签名验签"项目为开发人员提供了一套完整的数字签名解决方案,能够有效地保障数据的安全传输和接收者的信任。通过二次开发,可以轻松地将签名和验签功能整合到各种应用中,提升系统的安全性和...
php对接java现实加签验签的实例
09-01
在IT行业中,尤其是在分布式系统和跨平台通信中,加签验签是确保数据安全和完整性的关键步骤。本文将详细讲解如何使用PHP对接Java进行加签验签的实例。 首先,我们要理解加签(Signing)和验签(Verifying ...
中间件_接口验签工具类
07-13
接口验签小工具
API接签名验证
08-01
http Restful API接签名验证 ,防API接口进行在公网裸奔
java SHA256withRSA,json数据证书加签验签
08-31
总结来说,SHA256withRSA是Java中一种强大的安全机制,结合了SHA-256的哈希功能和RSA的非对称加密特性,提供签名、验签、加密和解密功能,保障了JSON数据在传输过程中的安全性。"JAVA-SHA256withRSA.java"文件中的...
谈谈HTTPS演变过程
weiwenhou的博客
10-02 287
前言本文谈谈HTTPS设计演变过程,希望对大家理解HTTPS有帮助,有不对的地方欢迎指出。密码学基础知识在讨论HTTPS之前,需要掌握一些密码学基础概念。明文、密文、密钥...
Java对外接口签名(Signature)实现方案
热门推荐
学习学习学习
07-04 1万+
对外接口加密验签功能
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9224
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
java使用拦截器进行接口签名验证
bighacker的博客
11-24 2786
验签 拦截器 redis时效 防抓包
接口验签
tjg888888的博客
06-09 1218
//config.jsvar secret = 'kjds1749346539efe3a05a494b48wlwx';var api_url = 'http://xzhs.user.welink010.com/api/';var web_url = 'http://xzhs.user.welink010.com/';var userInfo = '';//获取signfunction getSig...
java接口验签
05-27
Java 接口验签一般分为以下几个步骤: 1. 获取接口参数:从接口请求中获取所有参数,包括请求参数、请求时间戳、请求签名等信息。 2. 排序参数:将所有参数按照参数名的字典序进行升序排序,参数名相同的按照参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值