post 防篡改_安全|API接口安全性设计(防篡改和重复调用)

最新推荐文章于 2023-04-06 13:05:29 发布
最新推荐文章于 2023-04-06 13:05:29 发布
阅读量853 收藏 7
点赞数
文章标签: post 防篡改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42604188/article/details/113019273
版权
API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。1. Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,如果T...
摘要由CSDN通过智能技术生成

API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。

1. Token授权机制

用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。

# uuid 是手机设备的唯一标示

String token = UUID.randomUUID().toString() + "_" + uuid;

2. 时间戳超时机制

用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如30秒),则认为该请求失效。时间戳超时机制是防御重复调用和爬取数据的有效手段。

当然这里需要注意的地方是保证客户端和服务端的“当前时间”是一致的,我们采取的对齐方式是客户端第一次连接服务端时请求一个接口获取服务端的当前时间A1,再和客户端的当前时间B1做一个差异化计算(A1-B1=AB),得出差异值AB,客户端再后面的请求中都是传B1+AB给到服务端。

// timeStamp是客户端从Header传过来的值

Long timeStamp = RequestHeaderContext.getInstance().getTimeStamp();

boolean checkTime = checkTime(timeStamp, 30 * 1000);

if (!checkTime) {

最低0.47元/天 解锁文章
古斯塔夫歼星炮
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
post 篡改_WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
weixin_35745051的博客
01-17 243
原文:http://blog.csdn.net/starfd/article/details/43487587在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时...
post 篡改_表单提交数据篡改
weixin_39856589的博客
01-17 860
概述有些情况数据需要更高的安全性,需要避免第三方工具抓包进行对数据修改,因此在表单提交/ajax提交数据时需要数据强一致性。image.png解决逻辑前段页面监听ajax提交,把提交的数据md5哈希,并往http header头写入X-Token$(document).ready(function(){#监听ajax提交,把提交的数据md5哈希,并往http header头写入X-Token$.a...
前后端API交互如何保证数据安全性
热门推荐
纯洁的微笑
06-07 3万+
前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后...
错误码
fxinn的博客
01-14 151
生动形象 4** 5** :https://www.zhihu.com/question/30692393 100: 101:ip 地址错误,网络设置 301:域名已更换,访问的资源已经被永久转移到其他 URL 302:资源被临时移动了,客户端应该继续使用原有URL 307:临时重定向,请使用GET请求重定向。客户端发送post请求返回307时,浏览器询问用户是否再次post 400:请求语法错误 401:要求用户身份认证 402:需要付费 403:禁止执行访问 4...
md5加密代码_接口测试参数实现MD5加密签名规则
weixin_39533896的博客
12-04 462
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。...
C#程序反编译工具
08-26
在IT行业中,编程语言如C#的源...开发人员应该根据项目的需求和安全等级选择合适的反编译措施,以确保代码的安全性和知识产权得到保护。同时,定期更新和升级这些保护手段也是必要的,因为反反编译技术也在不断发展。
互亿手机接口文档
07-27
综上所述,“互亿手机接口文档”是一份全面的开发指南,涵盖了从接口设计安全护的各个方面,帮助开发者顺利接入互亿平台,确保应用的安全、高效运行。同时,提供的常见问题解答能够帮助开发者快速解决开发中遇到...
TamperChrome一个Chrome扩展程序允许您即时修改HTTP请求并帮助Web安全测试
08-07
标题中的“TamperChrome”是一款专为Chrome浏览器设计的强大工具,它为Web开发者和安全测试人员提供了一个便捷的平台,以实时篡改HTTP请求。这款扩展程序的目的是帮助用户深入理解网络通信过程,同时也为Web应用程序...
快钱公布的接口例子.........
05-13
9. **安全性**:为了保证交易的安全,快钱会采用多种安全措施,例如SSL加密、SQL注入、止XSS攻击等,同时也要求商家在开发过程中遵循相应的安全规范。 10. **测试环境与正式环境**:快钱通常会提供测试环境供...
php 网上支付讲座_韩顺平老师
03-12
最后,支付系统的安全性与合规性至关重要。开发者需要遵守PCI DSS(Payment Card Industry Data Security Standard)等支付行业安全标准,保护用户的支付信息不被泄露。此外,还要考虑退款、取消订单、异常处理等...
关于JavaWeb的笔试面试题(二)
weixin_41768263的博客
05-19 294
1.什么是Servlet?(有的会问到)Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态Web内容。狭义的Servlet是指Java语言实现的一个接口,广义的Servlet是指任何实现了这个Servlet接口的类,一般情况下,人们将Servlet理解为后者。Servl...
IOS的代码混淆和篡改解决方案
gplzx110的专栏
06-11 790
一、代码混淆 https://www.jianshu.com/p/66bb2d45b3c2 混淆原理 代码编译阶段将符号(方法名、属性名等)替换成随机生成的字符串 长话短说,直接上步骤。 混淆集成步骤 步骤一、创建shell文件(confuse.sh)并配置相应的运行环境。 在项目根目录下新建一个文件夹 新建文件夹 我这里取文件夹名称为CodeObfuscation,如下图所示 文件夹 **注意**这里的文件夹必须在目录中真实存在(Xcode9 Ne..
在线随机UUID生成API接口
Microa-securit Network Co Ltd.
03-24 4148
UUID 是 通用唯一识别码(Universally Unique Identifier)的缩写,是一种软件建构的标准,亦为开放软件基金会组织在分布式计算环境领域的一部分。
微信域名API接口实现原理分享
qq_30938285的博客
09-27 1321
微信域名封是指通过技术手段来实现预措施。比如打赏封、棋牌,H5推广、BC、小说封等,封杀的频率频繁,好点的几天,速度快的秒封,怎么做才能有效的屏蔽呢?我们要做的是让我们的推广域名寿命更长一点,成本更低一点,效果更好一点。本人总结了市场上目前所有封方案,今天给大家分享一些思路。 1、利用短网址智能(人工+系统)轮换推广,尤其是那些大站的短网址,比如.url和.cn以及10086的,这...
post 篡改_Cookie篡改机制
weixin_39992660的博客
01-17 239
一、为什么Cookie需要篡改为什么要做Cookie篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。当发起一个HTTP请求,HTTP请求头会带上Cookie,Cookie里面就包含有SessionID。后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。服务器根据登...
get和post请求的区别和优缺点
qq_46086519的博客
03-06 2769
GET请求优点:GET请求具有缓存能力,可以通过缓存提高请求的响应速度,适合请求不会改变服务器端状态的资源;使用GET请求参数直接暴露在URL中,可以直接在浏览器中查看请求参数,方便调试和开发。GET请求缺点:由于请求参数暴露在URL中,不适合传递敏感数据;POST请求请求参数放置在请求体中,相对于GET请求更加安全,不容易被恶意攻击者截获。POST请求缺点:POST请求不具有缓存能力,每次请求都需要重新获取数据,对服务器端压力较大;POST请求将请求参数放置在请求体中,可以提交比GET请求更大的数据量。
如何保证接口安全,做到篡改重放?
最新发布
Javatutouhouduan的博客
04-06 4269
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
如何止http请求数据被篡改
weixin_33995481的博客
05-21 9115
2019独角兽企业重金招聘Python工程师标准>>> ...
flask api 接口 开发 和调用 例子 post
03-21
以下是一个简单的 Flask API 接口开发和调用的例子: ```python from flask import Flask, request, jsonify app = Flask(__name__) @app.route('/api', methods=['POST']) def api(): data = request.get_json...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值