细说REST API安全之防止数据篡改

最新推荐文章于 2024-06-25 08:43:17 发布
最新推荐文章于 2024-06-25 08:43:17 发布
阅读量136 收藏
点赞数
原文链接:http://www.cnblogs.com/nuccch/p/6971960.html
版权

通常可以使用MD5或SHA-1对API参数进行签名,在服务器端通过校验签名结果来验证数据是否被修改。


举个例子:添加用户

          地址:http://192.168.0.10/v1/user/add?sign=MD5(请求参数 + timestamp + access_token)&timestamp=1496978464401
          方法:POST
        消息头:
          Host:192.168.0.10
    User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
        Accept:text/json, */*; q=0.01
  Content-Type:application/json; charset=UTF-8
Content-Length:67
    Connection:keep-alive
Authentication:Basic Y2hlbmNoPTExMTExMQ==
    
      请求参数:
{name: "zhangsan", email: "zhangsan@org.com", phone: "1318907653"}

1. acess_token通过消息头Authentication传递。
2. 将请求参数,当前时间戳以及access_token一起进行计算签名:sign=MD5(请求参数 + timestamp + access_token),服务器端接收到参数时,先进行签名验证,如果签名不正确,则说明数据被修改,返回400。

但是,简单的MD5签名规则也可能被破解,攻击者只需要使用相同的规则即可轻松修改数据。
所以,建议在对参数进行签名时添加盐值。为了避免盐值保存在客户端被泄露,可以动态从服务器端动态获取盐值,即:sign=MD5(请求参数 + timestamp + access_token + 动态盐值)。

 

转载于:https://www.cnblogs.com/nuccch/p/6971960.html

weixin_30641465
关注
Rest接口参数调用在后端进行自定义参数校验实战(含完整代码)
qq_20395245的博客
06-29 1428
开发背景:相信大家在实际开发中基本都接触过前后端分离的开发模式,大致流程为前端携带请求参数向后端发起请求然后获取响应结果进行页面渲染。那么这里问题来了,前端发起的请求会携带众多不同格式的请求参数,这些请求参数字段如果没有进行必要的校验很可能对导致后端服务出现一系列报错。因此一般来说需要在后端对前端的请求参数进行一些必要的参数校验,当全部参数校验通过之后才进行服务的调用返回数据,当参数存在不通过的情况时则以友好的方式直接返回给调用方提示进行参数修改。基于此背景,下面介绍一下这样一个需求可以怎么去实现,并且考虑
Android推送 利用REST API实现从客户端推送(百度云推送)
清风的博客
11-30 4201
今天
http & Restfulapi encryption,如何确保获取的数据没有被篡改
all for one,one for all
04-15 365
由于部署和性能如果不能采用 https, 可以使用 hybrid encryption 保证数据不被串改(不能中间人攻击,也不能防止数据的泄漏——除非采用白名单)。 hybrid encryption: client—> send RSA 非对称的公钥给 server server 随机生成 AES 对称密钥用于加密数据,并用 client 的公钥加密 AES 对称密钥 server 将...
细说REST API安全防止重放攻击
weixin_30659829的博客
06-09 344
一. 重放攻击概述 百科对重放攻击的描述:https://zh.wikipedia.org/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB简而言之,重放攻击的产生是由于安全信息被攻击者截取,用于欺骗服务器。而在REST风格的软件架构中,如果仅仅使用HTTP协议,请求数据很容易被网络抓包截取,因此在API层面必须考虑防止重放攻击的设计。 二. 防止重放攻...
接口安全设计之篡改重放
最新发布
Innocence_0的博客
06-25 1227
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
【ES使用】Java API操作ES宝典(8.x版本)
qq_34263207的博客
11-17 5096
8.x版本的ES相关Java API操作
Django+JWT实现Token认证
ops-coffee
01-22 3971
对外提供API不用django rest framework(DRF)就是旁门左道吗? 基于Token的鉴权机制越来越多的用在了项目中,尤其是对于纯后端只对外提供API没有web页面的项目,例如我们通常所讲的前后端分离架构中的纯后端服务,只提供API给前端,前端通过API提供的数据对页面进行渲染展示或增加修改等,我们知道HTTP是一种无状态的协议,也就是说后端服务并不知道是谁发来的请求,那么如...
Go语言编程笔记17:Web Service
梦幻天空
01-01 1949
Go语言编程笔记17:Web Service 图源:wallpapercave.com 通过一系列文章,我介绍了如何用Go语言构建一个Web应用,准确的说是一个网站。事实上并非所有的Web应用都是以网站的形式存在,其中相当一部分是Web Service,相比前者,后者的应用范围更广泛,它的前端可能是纯Js编写的网站前端,也可能是移动APP,甚至是另一个Web应用。 所以这篇文章将介绍如何构建一个Web Service。 这里的Web Service概念和Apache之类的有所不同,它指那些通过API方式
html协议
胖大xian
12-26 788
HTTP协议一、基础概念1.1 URI和URL1.2 请求和响应报文报文基本结构请求报文响应报文二、HTTP 方法GET:获取资源POST: 传输实体主体PUT: 传输文件HEAD:获得报文首部DELETE:删除文件OPTIONS:询问支持的方法TRACE:追踪路径CONNECT:要求用隧道协议连接代理PATCH: 对资源进行部分修改三、HTTP 状态码1XX 信息2XX 成功3XX 重定向4XX 客户端错误5XX 服务器错误四、HTTP首部4.1 首部字段预览通用首部字段请求首部字段响应首部字段实体首部字
爬虫教程( 6 ) --- 爬虫 进阶、扩展
墨鱼菜鸡
07-11 6841
1. 前言 1. 先看一个最简单的爬虫。 import requests url = "http://www.cricode.com" r = requests.get(url) print(r.text) 2. 一个正常的爬虫程序 上面那个最简单的爬虫,是一个不完整的残疾的爬虫。因为爬虫程序通常需要做的事情如下: 1)给定的种子 URLs,...
API接口如何防止参数被篡改和重放攻击?
码猿技术专栏
01-29 2779
点击上方☝码猿技术专栏轻松关注,设为星标!及时获取有趣有料的技术作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
如何防止http请求数据篡改
weixin_33995481的博客
05-21 9167
2019独角兽企业重金招聘Python工程师标准>>> ...
微信回调 java_微信APP支付Java后端回调处理
weixin_39908758的博客
02-12 85
package com.gaoxiao.framework.controller.gaojia;import com.gaoxiao.framework.commonfiles.entity.StatusResult;import com.gaoxiao.framework.commonfiles.utils.PayCommonUtil;import com.gaoxiao.framework.m...
微信扫码支付
12-28 3424
互联网高速发展的今天,移动支付,虚拟交易也成为了主流,商店,饭店等都少不了,今天就写了一个扫码支付的实例供大家参考。 扫码支付的时序图1、生成订单我们主要获取二维码链接code_url : 例如 weixin://wxpay/s/An4baqwpublic static Map<String, Object> callWxSanMaPay(String goodName,String cp
提供给第三方的API的签名验证问题
问天的博客
06-03 1470
目前的状况 公司目前有若干的第三方API, 这些API是供第三方的一些渠道对接,让渠道可以访问到一些公司的业务信息,他们是这么设计的。 使用Bear Token 作为第三方访问API的时候的唯一验证方式, 当第三方需要访问公司的API的时候,任何请求需要在请求头里面添加 Authorization:头信息, 用来提供Token给服务器 从而验证当前的请求是否有效。 有一些操作我们想要回避第三方渠道, 如客户需要提交一些信息给服务器 第三方渠道不需要知道这些信息的时候, 我们会让访问第三方渠道的客户跳转到一
SpringBoot请求响应参数篡改
闲余知道
07-06 1944
SpringBoot参数加签、验签,参数篡改
开放api接口签名验证
weixin_30527143的博客
03-30 2096
在写开放的API接口时是如何保证数据安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
js 跨域 Content-Type application/json失败问题解决方案
hknaruto的专栏
12-19 6772
设置Content-Type为 text/plain   参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS Content-Type 的值仅限于下列三者之一: text/plain multipart/form-data application/x-www-form-urlencoded ...
"数据治理系列5:数据质量管理细说
"数据治理系列5:浅谈数据质量管理"一文中,作者石秀峰提到了数据质量管理是对数据全生命周期进行管理的一系列活动,包括计划、获取、存储、共享、维护、应用和消亡。文章强调了数据质量问题的识别、度量、监控和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值