接口防止重放攻击:重放攻击是指攻击者截获了一次有效请求(如交易请求),并在之后的时间里多次发送相同的请求,从而达到欺骗系统的目的。为了防止重放攻击,通常需要在系统中引入一种机制,使得每个请求都有一个唯一的标识符(如时间戳、序列号等),并在处理请求时检查这个标识符,确保请求没有被重复处理。
接口幂等性:幂等性是指一个操作具有不变性,即多次执行该操作会产生相同的结果。例如,支付金额、提交表单等操作都具有幂等性。为了保证系统的幂等性,需要确保在处理请求时,对于相同的输入参数,系统只执行一次相应的操作,而不会对同一个输入参数进行多次处理。这可以通过在数据库中设置唯一约束、使用乐观锁等方式实现。
方案:
接口防止重放攻击:基于nonce + timestamp 的方案
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。此时服务端的处理流程如下:
去 redis 中查找是否有 key 为 nonce:{nonce}的 string
如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。
如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。