python restful api

标签:  restful
28人阅读 评论(0) 收藏 举报
分类:

restful api安全验证问题

没有绝对的安全,这个话题很深, 下文都是自己的一些理解,水平有限,如有勘误,希望大家予以指正。

由于 RESTful Api 是基于 Http 协议的 Api,是无状态传输,所以 只要和用户身份有关的 请求 都会带上身份认证信息。(很多时候客户端事先并不知道某个 api 后期会不会加入身份判断,所以我们一般都会选择每个请求都会带上认证信息,如果有的话。)

Http Basic Authentication

Http Basic 是一种比较简单的身份认证方式。 在 Http header 中添加键值对 Authorization:  Basic xxx (xxx 是 username:passowrd base64 值)。

例如 username 为 zmk ,password 为 123456,请求则如下

1
2
3
GET /auth/basic/ HTTP/1.1
Host: xxxxx
Authorization: Basic em1rOjEyMzQ1Ng==

而Base64 的解码是非常方便的,如果不使用 Https ,相当于是帐号密码直接暴露在请求中。

危险性高,实际开发者使用的应该几乎为0。

顺便提下 DIGEST 认证,和 BASIC 认证相差无几,而且不适合 api 设计,实际又需要两次请求,首次请求,服务器端返回401,并且带上 nonce 值,然后客户端再利用 username + password + nonce 默认MD5之后再请求。对 http 请求的作用是仅仅防止二次请求,对身份认证并没有什么提升。

Cookie + Session

不知道是否应该这么称呼,只是觉得类似于 cookie 与 session 的机制。

原理即当客户端登录完毕之后,给客户端返回一个 cookie ,服务器端控制该 session 的有效期, 每次请求都带上该值,然后服务器端做验证,退出之后,客户端通知服务端端销毁 session ,自身销毁 cookie 。但是如果抓包获取到 cookie ,就能任意伪造请求了。

危险性高,实际开发估计使用得还不少。

 

Api Key + Security Key + Sign

下图是我们自己每次请求的身份认证的方式,如有不足,请大家指出。可以说是 JWT 的自定义版吧。

这里的认证逻辑即:

  1. 用户登录返回一个 api_key 和 security_key ;

  2. 然后客户端将 security_key 存在客户端;

  3. 当要发送请求之前,通过 function2 加密方法,把如图所示的五个值一起加密,得到一个 sign ;

  4. 发送请求的时候,则将除去 security_key 之外的值,以及 sign 一起发送给服务器端;

  5. 服务器端首先验证时间戳是否有效,比如是服务器时间戳5分钟之前的请求视为无效;

  6. 然后根据 api_key 验证 sercurity_key ;

  7. 最后验证 sign 。

是否需要加上时间戳验证?

上面的认证逻辑中加密得到签名的时候,把时间戳加进去是为了在一定程度上屏蔽了一些无效的请求,可以略去,也可以设计的更加严格。 如果想防止恶意的 api ddos 攻击,这一步验证肯定是不行的。需要做更多的验证,比如用户验证,ip 验证等。 可以参考 github 的 api 的设计 。它会在返回的 http 头信息里带上

X-RateLimit-Limit: 5000
X-RateLimit-Remaining: 4999

表示这个接口在某一时间段内,该授权用户调用该接口的最大次数为5000次,该时间段内还剩余4999次。当然,这样的验证加上之后,在代码的执行效率上肯定会有所影响。

是否需要将 request_parameters 也加入到 sign 生成的算法之中?

也不是必须的,仅仅是为了请求的真实性,减少请求的伪造,比如 有人抓包拿到 http 请求之后,如果没有验证 sign 这步,那么别人就可以非常简单的修改请求的参数,而请求都会生效。

血的教训,自己经历的一个实际案例:

一个取消用户喜欢的标签的接口,该接口会向服务器端发送类似于 ids=1,2,3,4 这样的 request_parameters ,然后服务器端拿到这些 id 之后切割,然后将该用户和这些标签的关系从 user_tag 表中删除。某个周末,数据库服务器报警,而依照我们用户习惯,那个时间不存在流量高峰,这个报警很不正常,正准备处理,报警结束了,但是过了一段时间就有用户反应他们喜欢的标签都被删了。

通过查询数据库的慢日志,发现有很多注入的 sql。

1
2
DELETE FROM `user_tag` WHERE uid=4385328 AND tid=1 OR 14=14;
DELETE FROM `user_tag` WHERE uid=4385328 AND tid=1 OR 91=91;

原来 没有对切割之后的 id 没有做数字验证,估计黑客就是传的 ids=1 OR 14=14,2,3 ,而一个 delete 操作可能超时,他丫的就搞了很多次请求,真是够狠的。

幸运,数据库还有定时的打包备份,大部分用户的数据还是恢复了,同时修复了这一漏洞。

所以如果这里将 request_parameters 也加入到签名之中,就减少了伪造请求的可能性,但是无法杜绝,破坏者可能就非要黑你,又对逆向工程非常熟悉,找到我们加密算法的实现,依然可以未知出合法的签名,所以我们常说,服务器端永远不能相信客户端的请求都是安全的、合法的,需要做验证的都还是不能省略。

同时这( sign 算法)也造成了 api 接口调试的成本,api 测试工具必须也得实现那一套算法,或者是设置在开发环境下不做验证。我们在配置开发环境的时候则是 vpn 连测试服务器所在内网,然后进行测试,否则开发环境也存在被人利用的风险。

 

 

最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用请求应该是完全无关的,也就是说,正宗的RESTful Web API应该是每次调用都应该包含了完整的信息,没错,包括身份信息!

 

如何实现RESTful Web API的身份验证

 

最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用请求应该是完全无关的,也就是说,正宗的RESTful Web API应该是每次调用都应该包含了完整的信息,没错,包括身份信息!

那如何确保安全?传输时给密码做MD5加密?得了吧!这样做只能让你自己感觉“安全”点,其实没什么任何用处,利用现在的技术(有种叫什么Rainbow Table啥的来着?本人外行,不是很懂)很快就能算出明文密码了,而且如何防止挟持和重发攻击?

也许你想到了,SSL,如果你打算采用SSL,请忘记一切自行设计的加密方案,因为SSL已经帮你做好了一切,包括防止监听,防止挟持,防止重发……一切都帮你考虑好了,你大胆地把明文密码写在你的包中就OK了,我向你保证没问题。

但SSL的缺点是服务器端配置相对有点复杂,更关键的就是客户端对此支持可能不好,那你考虑一种自己的加密方法

标签: restful
查看评论

python调用新浪微博API爬取用户的好友列表(windows 64位,pyCharm)

由于社交网络分析课题研究的需要,需要获得指定用户的好友列表数据,所以,调用新浪微博API进行实践。虽然新浪微博开放平台接口升级后只能获取当前登录用户的部分好友列表,无法满足研究需求,但还是以此记录初次...
  • Erin_HH
  • Erin_HH
  • 2016-12-09 10:59:23
  • 1440

Python调用微博API获取微博内容

一:获取app-key 和 app-secret     使用自己的微博账号登录微博开放平台(http://open.weibo.com/),在微博开放中心下“创建应用”创建一个应用,应用信息那些随便...
  • Gamer_gyt
  • Gamer_gyt
  • 2016-07-06 16:43:35
  • 7379

使用python调用新浪微博API的小经历

Python标准库里有专门处理Json的标准库--json库。使用的是新浪微博Python SDK。 刚开始走了很多弯路,Python SDK的介绍页面内容有点少只是简单的介绍了如何使用这个SDK用新...
  • u010454729
  • u010454729
  • 2014-03-18 16:52:45
  • 1235

Python Restful API 资料整理

本文描述了使用python编写Restful APIs的参考连接。希望大家少走弯路。
  • lihe2008125
  • lihe2008125
  • 2017-03-08 00:43:32
  • 1511

Python 学习笔记6 - RESTful API 开发

6、Python RESTful API 开发 1、RESTful API 概述 1-1、展示微博开放平台的 RESTfulAPI 介绍微博开放平台 open.weibo.com 在linu...
  • xiang12835
  • xiang12835
  • 2017-04-08 01:13:55
  • 6456

如何通过python调用新浪微博的API

1.下载SDK 使用python调用API的话,首先要去下一个Python的SDK,sinaweibopy 连接地址在此: http://michaelliao.github.com/sinaweib...
  • u010454729
  • u010454729
  • 2014-03-18 16:15:38
  • 1018

python django成功调用sina微博api(最新)有图

从下面地址去下载python的微博SDK http://michaelliao.github.com/sinaweibopy/  下载安装文件,自己通过python setup.py  i...
  • changemyself
  • changemyself
  • 2013-06-25 19:02:59
  • 5103

Python实现Restful API

Python实现Restful API最近写了一个网络验证登录的爬虫,需要发布为Rest服务,然后发现Flask是一个很好的Web框架,使用Python语言实现。1. 安装flaskpip insta...
  • qq_31258245
  • qq_31258245
  • 2017-12-27 21:13:27
  • 248

Python Flask Restful API 基础篇

目前Web应用这块,restufl API用得非常普遍,因为,你手上的前端设备五花八门,各种系统的手机,pad等等,而且网站和手机APP经常会有需要资源共享的时候。 如果网站做个app,手机端再独立一...
  • bestallen
  • bestallen
  • 2016-12-20 23:14:13
  • 8136

使用新浪微博官方API抓取微博数据(Python版)

一、安装环境 从网站:http://github.liaoxuefeng.com/sinaweibopy/  下载安装SDK, 然后就可以看一下网站:https://github.com/mich...
  • xiaoquantouer
  • xiaoquantouer
  • 2016-10-31 15:27:29
  • 6843
    个人资料
    持之以恒
    等级:
    访问量: 4300
    积分: 704
    排名: 7万+
    文章存档