Java进阶之路66问 | 对接口签名是怎么理解的?如何防止接口重放攻击?

于 2024-07-14 10:15:38 发布
阅读量1.4k 收藏 16
点赞数 26
分类专栏: Java进阶之路 文章标签: java python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42627385/article/details/140413062
版权

接口签名

为什么需要接口签名?

现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下:

  • 非法使用 API 服务。(收费接口非法调用)
  • 恶意攻击和破坏。(数据篡改、DOS)

因此需要设计一些接口安全保护的方式来增强接口安全,目前主流的一种方式是 API 签名。

知乎上有个提问:使用了 https 后,还有必要对数据进行签名来确保数据没有被篡改吗?答案是有必要的。

HTTPS 保证通过中间人攻击抓到的报文是密文,无法或者说很难破解。但仍然可以将报文重发,形成 DDOS。同时,如果不签名,只用 HTTP 简单认证,通过抓包,直接可以获取到 Authorization,就可以随意发起请求了。因此最安全的方法就是结合 HTTPS 和 API 签名。

总结一下就是:

  • API 签名保证的是应用的数据安全和防篡改,并且可以作为业务的参数校验和处理重放攻击。
  • HTTPS 保证的是运输层的加密传输,但是无法防御重放攻击。

简单的签名算法

一个服务调用另外一个服务,肯定是有参数需要传递的,我们可以将参数按照以下步骤进行签名:

  1. 对所有非空参数值的的参数进行拼接
key1value1key2value2...
  • 参数名ASCII码从小到大排序(字典序);
    • 如果参数的值为空不参与签名;
    • 参数名区分大小写;
    • 传送的sign参数不参与签名;
  1. 在stringA最后拼接上secret密钥得到stringSignTemp字符串
  2. 对stringSignTemp进行MD5加密得到signValue

假设服务A的接口f1调用服务2的接口f2,在调用时,按照以上算法生成一个签名sign,调用接口的时候将签名sign连同参数一起传给服务2的接口f2,f2解析完参数和sign后,拿到参数根据同样的签名算法和secret再生成一个新sign,对比新sign和传过来的sign是否相同,如果相同,说明参数没有被修改过,如果不同,则说明参数已经被修改了,拒绝服务,

public class AntiReplayAttackV1Example {

    //如果是对称加密,则是调用方和被调用方都知道的私钥;如果是
    //非对称加密,调用方这里是被调用方生成的公钥
    private static final String SECRET_KEY = "your_secret_key"; 

    // 模拟支付请求类
    static class PaymentRequest {
        private String transactionId;
        private double amount;
        private String nonce;

        public PaymentRequest(String transactionId, double amount, String nonce) {
            this.transactionId = transactionId;
            this.amount = amount;
            this.nonce = nonce;
        }

        public String getTransactionId() {
            return transactionId;
        }

        public double getAmount() {
            return amount;
        }

        public String getNonce() {
            return nonce;
        }
    }

    public static String generateSign(Map<String, String> params, String secret) throws NoSuchAlgorithmException {
        // 将参数按ASCII码从小到大排序
        Map<String, String> sortedParams = new TreeMap<>(params);
        StringBuilder stringA = new StringBuilder();

        // 拼接成字符串stringA
        for (Map.Entry<String, String> entry : sortedParams.entrySet()) {
            if (entry.getValue() != null && !entry.getValue().isEmpty()) {
                stringA.append(entry.getKey()).append(entry.getValue());
            }
        }

        // 在stringA最后拼接上secret密钥得到stringSignTemp字符串
        String stringSignTemp = stringA.toString() + secret;

        // 对stringSignTemp进行MD5加密得到signValue
        return md5(stringSignTemp);
    }

    private static String md5(String input) throws NoSuchAlgorithmException {
        MessageDigest md = MessageDigest.getInstance("MD5");
        byte[] messageDigest = md.digest(input.getBytes());
        StringBuilder sb = new StringBuilder();

        for (byte b : messageDigest) {
            sb.append(String.format("%02x", b));
        }
        return sb.toString();
    }

    public static void main(String[] args) {
        try {
            // 模拟一个支付请求
            PaymentRequest request = new PaymentRequest("txn-001", 100.0, "nonce-123");

            // 模拟请求参数集合
            Map<String, String> params = new TreeMap<>();
            params.put("transactionId", request.getTransactionId());
            params.put("amount", String.valueOf(request.getAmount()));
            params.put("nonce", request.getNonce());

            // 生成签名
            String sign = generateSign(params, SECRET_KEY);
            System.out.println("Generated Sign: " + sign);

            // 模拟服务器端验证签名
            boolean isValid = verifySign(params, sign, SECRET_KEY);
            System.out.println("Is Sign Valid: " + isValid);

        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
    }

    public static boolean verifySign(Map<String, String> params, String providedSign, String secret) throws NoSuchAlgorithmException {
        // 生成签名
        String generatedSign = generateSign(params, secret);
        // 比较生成的签名和提供的签名
        return generatedSign.equals(providedSign);
    }
}

//输出:
Generated Sign: 1f7cc39bcb0eb7e293c29d49906d69d6
Is Sign Valid: true

但是这种签名只能验证数据有没有被修改,但是防不了重放攻击!

重放攻击

什么是重放攻击?

API重放攻击(Replay Attacks)又称为重播攻击。就是把你的请求原封不动地再发送一次,两次…n次,一般正常的请求都会通过验证进入到正常逻辑中,如果这个正常逻辑是插入数据库操作,那么一旦插入数据库的语句写的不好,就有可能出现多条重复的数据。一旦是比较慢的查询操作,就可能导致数据库堵住等情况,如果是付款接口,或者购买接口就会造成损失。

因此需要采用防重放的机制来做请求验证,下面介绍如何对接口做防重放攻击。

带时间戳的签名算法

请求端:timestamp由请求方生成,代表请求被发送的时间(需双方共用一套时间计数系统)随请求参数一并发出,并将 timestamp作为一个参数加入 sign 加密计算。

服务端:平台服务器接到请求后对比当前时间戳,设定不超过30s 即认为该请求正常,否则认为超时拒绝服务。

public class AntiReplayAttackWithTimestamp {

    private static final String SECRET_KEY = "your_secret_key"; // 替换为你的secret密钥
    private static final long TIME_WINDOW = 30000; // 时间窗口(例如30秒)

    // 模拟支付请求类
    static class PaymentRequest {
        private String transactionId;
        private double amount;
        private long timestamp;
        private String signature;

        public PaymentRequest(String transactionId, double amount, long timestamp) {
            this.transactionId = transactionId;
            this.amount = amount;
            this.timestamp = timestamp;
        }

        public String getTransactionId() {
            return transactionId;
        }

        public double getAmount() {
            return amount;
        }


        public long getTimestamp() {
            return timestamp;
        }

        public void setSignature(String signature) {
            this.signature = signature;
        }

        public String getSignature() {
            return signature;
        }
    }

    public static String generateSign(Map<String, String> params, String secret) throws NoSuchAlgorithmException {
        // 将参数按ASCII码从小到大排序
        Map<String, String> sortedParams = new TreeMap<>(params);
        StringBuilder stringA = new StringBuilder();

        // 拼接成字符串stringA
        for (Map.Entry<String, String> entry : sortedParams.entrySet()) {
            if (entry.getValue() != null && !entry.getValue().isEmpty()) {
                stringA.append(entry.getKey()).append(entry.getValue());
            }
        }

        // 在stringA最后拼接上secret密钥得到stringSignTemp字符串
        String stringSignTemp = stringA.toString() + secret;

        // 对stringSignTemp进行MD5加密得到signValue
        return md5(stringSignTemp);
    }

    private static String md5(String input) throws NoSuchAlgorithmException {
        MessageDigest md = MessageDigest.getInstance("MD5");
        byte[] messageDigest = md.digest(input.getBytes());
        StringBuilder sb = new StringBuilder();

        for (byte b : messageDigest) {
            sb.append(String.format("%02x", b));
        }
        return sb.toString();
    }

    public static void main(String[] args) {
        try {
            long timestamp = System.currentTimeMillis();

            // 模拟一个支付请求
            PaymentRequest request = new PaymentRequest("txn-001", 100.0,  timestamp);

            // 模拟请求参数集合
            Map<String, String> params = new TreeMap<>();
            params.put("transactionId", request.getTransactionId());
            params.put("amount", String.valueOf(request.getAmount()));
            params.put("timestamp", String.valueOf(request.getTimestamp()));

            // 生成签名
            String sign = generateSign(params, SECRET_KEY);
            request.setSignature(sign);
            System.out.println("Generated Sign: " + sign);

            Thread.sleep(15000);

            //30s之内的验证;
            boolean isValid1 = verifySign(params, sign, SECRET_KEY);
            System.out.println("15s, Is Sign Valid: " + isValid1);

            // 模拟服务器端验证签名2,时间过了30s了
            Thread.sleep(16000);

            boolean isValid2 = verifySign(params, sign, SECRET_KEY);
            System.out.println("after 30 s, Is Sign Valid: " + isValid2);

        } catch (NoSuchAlgorithmException | InterruptedException e) {
            e.printStackTrace();
        }
    }

    public static boolean verifySign(Map<String, String> params, String providedSign, String secret) throws NoSuchAlgorithmException {
        // 检查时间戳是否在有效时间窗口内
        long timestamp = Long.parseLong(params.get("timestamp"));
        long currentTime = System.currentTimeMillis();

        if (Math.abs(currentTime - timestamp) > TIME_WINDOW) {
            return false; // 时间戳不在有效时间窗口内
        }

        // 生成签名
        String generatedSign = generateSign(params, secret);
        // 比较生成的签名和提供的签名
        return generatedSign.equals(providedSign);
    }
}

//输出:
Generated Sign: f245ea6b0812e261fee1effc3bb9ace6
15s, Is Sign Valid: true
after 30 s, Is Sign Valid: false

但是这样还是有缺陷的,以上面的代码为例。攻击者如果在30s之内进行重放攻击那就没办法了,因为30s之内的请求都认为是合法请求,那将这30s设置的小一些,那多小算小了?太小的话,如果网络拥挤,会将正常请求也拒绝掉的 ! 因此将时间改小这不是一个解决问题的根本办法。

所以更进一步地,可以为sign 加上一个随机码(称之为盐值)这里我们定义为 nonce。

带nonce的签名算法

请求方:nonce 是由请求方生成的随机数(在规定的时间内保证有充足的随机数产生,即在60s 内产生的随机数重复的概率为0)也作为参数之一加入 sign 签名。
服务端:服务器接受到请求先判定 nonce 是否被请求过(一般会放到redis中),如果发现 nonce 参数在规定时间是全新的则正常返回结果,反之,则判定是重放攻击拒绝服务。

下面是带nonce的签名算法的实现,主要是验证签名这个函数逻辑发生了变化,因此这里只贴出了验签函数,如下:

public static boolean verifyRequest(Map<String, String> params, String providedSign) throws NoSuchAlgorithmException {
     // 验证签名
     if (!verifySign(params, providedSign, SECRET_KEY)) {
         return false; // 签名不匹配,验证失败
     }

     // 验证时间戳
     long timestamp = Long.parseLong(params.get("timestamp"));
     long currentTime = System.currentTimeMillis();
     if (Math.abs(currentTime - timestamp) > TIME_WINDOW) {
         return false; // 时间戳不在有效时间窗口内
     }

     // 验证nonce
     String nonce = params.get("nonce");
     try (Jedis jedis = new Jedis(REDIS_HOST, REDIS_PORT)) {
         if (jedis.exists(nonce)) {
             return false; // nonce已存在,验证失败
         }
         jedis.setex(nonce, (int) (TIME_WINDOW / 1000), "1"); // 将nonce存入Redis并设置过期时间
     }

     return true;
}

//注意,请求的时候也有些变化,需要生成一个随机的nonce加入到参数中作为签名

// 生成唯一标识符和时间戳
String nonce = UUID.randomUUID().toString();
long timestamp = System.currentTimeMillis();

// 模拟一个支付请求
Request request = new Request("txn-001", 100.0, nonce, timestamp);

// 模拟请求参数集合
Map<String, String> params = new TreeMap<>();
params.put("transactionId", request.getTransactionId());
params.put("amount", String.valueOf(request.getAmount()));
params.put("nonce", request.getNonce());
params.put("timestamp", String.valueOf(request.getTimestamp()));

// 生成签名
String sign = generateSign(params, SECRET_KEY);

这里注意对于处理过的请求,将其nance存放到redis的时候设置过期时间为我们自定义的timestamp时间,这里即30s,因为timestamp参数对于超过30s的请求,都认为是非法请求,所以我们只需要存储30s的nonce参数集合即可。否则占用Redis空间会越来越大。

非科班大厂码农(同名公众号)
关注
  • 26
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9314
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
Spring Boot接口设计防篡改、防重放攻击详解
08-25
总结,Spring Boot接口设计中防止篡改和重放攻击涉及多个方面,包括签名验证、timestamp检查以及对敏感URI的特殊处理。正确实施这些措施能极大地提高接口的安全性,保护系统免受恶意攻击。在实际项目中,还应该考虑...
python接口自动化 -10. 接口签名处理(加密接口
weixin_45246215的博客
03-23 1235
通过抓包把请求的请求头和请求参数抓下来,通过postman或者jmeter测试(每次抓包,参数都是固定,但是签名随着请求参数变化而变化,每请求一次就就要抓包一次,也难搞。也就是说,没有处理好签名,就不能进行下一步。询开发具体的加密过程,复写一套加密算法,自己生成加密数据(过程有可能比较复杂,但是如果你跟开发关系好就不复杂,或者你直接看开发代码,加密,解密算法自己整一套);服务端与客户端进行http通讯时,为了防止被爬虫,数据安全性等,传参数的时候,不会明文的传输,先对接口加密,返回的数据也加密返回。
Java Web应用的安全防护与攻防策略
最新发布
微赚淘客系统开发者博客
07-07 287
今天我们将探讨Java Web应用中的安全防护与攻防策略,以帮助开发人员和架构师提升系统的安全性和稳定性。从输入数据验证、SQL注入防护到CSRF防护和安全审计,这些措施可以帮助开发团队有效地保护Java Web应用的安全性,减少安全风险和损失。在当今互联网环境中,Java Web应用承载了大量的用户数据和交易信息,因此安全性成为开发过程中至关重要的一环。采用安全的身份认证机制,例如基于OAuth2的单点登录(SSO),以及细粒度的授权管理策略,保证用户访的安全性和合法性。
接口签名的用处
hrbsfdxzhq01的博客
03-01 1205
签名的用处和思路:在接口中基本上都会用到签名机制,其实都是为了防止发送的信息被串改,发送方通过将一些字段要素按一定的规则排序后,在转化成json字符串,通过MD5加密机制发送,当接收方接受到请求后需要验证该信息是否被篡改过,也需要将对应的字段按照同样的规则生成验签sign,然后在于接收到的进行比对,可以发现信息是否被串改过。 &lt;?php /** * Created by PhpSt...
接口签名作用
tjd5214的博客
03-02 537
请求时会增加【签名:sign】这样的一个参数或者请求头,其生成规则按照参数排序并加密。后端在接收到请求后,用相同的规则排序并加密,对比与传入的sign是否相同。为了防止接口参数被篡改。
如何设计安全可靠的开放接口---之签名(sign)
自律使我自由
05-20 4800
文章目录【如何设计安全可靠的开放接口】系列前言前置知识 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 前言 本节内容可以说是开放接口设计的关键所在,上一节在最后也提到了appId、appSecret如果没有接下来的这一步签名,将变的毫无意义,所以本节我们就来正式看看应该如何进行签名。 前置知识 首先,在介绍签名方式之前,我们必须先了解2个概念,分别是:非对称加密(比如:RSA)、摘要算法(比如:MD5)
Java工程师进阶之路
06-06
Java工程师进阶之路,罗列学习曲线,一文全懂java进阶
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口的防重放攻击,校验请求超时,校验请求签名
06-04
可以防御重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据...
Java进阶学习资料.zip
06-21
Java是一种广泛使用的面向对象的编程语言,其设计目标是具有高度的可移植性、健壮性和安全性。...通过2019年的最新学习资料,你可以了解到当时的最佳实践和技术趋势,为你的Java进阶之路提供坚实的基础。
JAVA架构师进阶之路核心知识整理.pdf
11-14
java进阶架构师之路的核心知识,面试官逼知识点,包括基础知识、java集合、JVM、多线程并发、spring原理、微服务、Netty与RPC、Kafka、Zookeeper、分布式缓存等
java web接口开发demo
06-03
本示例"java web接口开发demo"可能是提供了一个简单的Java Web接口的实现,帮助开发理解如何构建和使用这样的接口。 首先,让我们了解一下Servlet,它是Java Web应用的核心组件之一,用于接收HTTP请求并返回响应...
如何学习JavaJava进阶学习方法论【Java一周入门教程8】
08-30
如何学习JavaJava进阶学习方法论【Java一周入门教程8】
Java 调用Http Rest接口 例子说明
07-07
#### 三、Java调用REST接口的方法 ##### 3.1 使用Apache HttpClient库 Apache HttpClient是一个用于Java开发者的高效、最新的HTTP客户端库,可以用来构建HTTP客户端应用,包括简单的GET请求以及复杂的POST请求。 ...
上期所股指期货程序交易CTP接口(Java源码+jar支持包)
02-05
上传个自己封的java接口,源码和依赖的jar包都在压缩文件里 test目录下有行情的demo,交易部分的API还没完全做好,可以连上前置和登录 这个java接口算是预览版吧,java与ctp api通信用的是Bridj,基于jni,现在还有...
Java基础之《接口安全—防止篡改和重放》
csj50的专栏
12-21 2515
只要api接口放在公网上暴露,就会有被攻击的风险,所以需要做好接口安全 一、防止篡改 1、什么是篡改 接口篡改是指通过http抓包获取api接口的请求参数,然后篡改api参数的内容,重新发送api请求。比如发送短信验证码、增加积分等 2、如何实现请求接口防止篡改 1)采用https方式加密传输,通过抓包就获取不到请求参数,缺点是成本高 2)后台对接口参数进行签名验证,报文头增加sign字段 3、验证的步骤 1)服务端和客户端约定好加密规则 2)客户端按照约定对报文加密(或者签名),获得签名值sign1
接口测试必备技能 - 加密和签名
软件自动化测试技术交流、资源分享
10-28 1770
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取
《二哥的Java进阶之路》- 通俗易懂的Java学习指南
"这是一本由沉默王二编写的关于Java进阶的学习指南,名为《二哥的Java进阶之路》。该小册在GitHub上有超过7600个star,内容涵盖Java基础知识、并发编程、虚拟机以及面试相关的核心知识点。小册风格独特,采用通俗...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值