如何避免token被截获后的重放攻击(Java)

已于 2023-12-14 13:42:52 修改
阅读量3k 收藏 4
点赞数
文章标签: java python 开发语言
于 2020-10-29 15:54:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhom_w/article/details/109361823
版权
  • token 加密,解密工具:
import lombok.AllArgsConstructor;
import lombok.Data;

import java.util.Base64;

/**
 * @author visy.wang
 * @desc Token加密、解密工具
 * @date 2020/10/29 15:26
 */
public class TokenUtil {
	/**
	 * 密码和时间戳生成可传输的密文
	 * @param password 密码
	 * @param mapper 时间戳乱序的映射关系
	 * @return 密文
	 */
	public static String encode(String password, int[] mapper){
		String timestamp = String.valueOf(System.currentTimeMillis());

		int tLen = timestamp.length();
		timestamp = tLen>13 ? timestamp.substring(tLen-13) : timestamp;
		timestamp = Base64.getEncoder().encodeToString(timestamp.getBytes());
		tLen = timestamp.length();

		password = Base64.getEncoder().encodeToString(password.getBytes());
		int pLen = password.length();

		int j = 0, k = 0;
		char[] result = new char[tLen + pLen];
		for(int i=0; i<result.length; i++){
			if((i%2==0 && j<tLen) || k>=pLen){
				result[i] = timestamp.charAt(mapper[j]);
				j++;
			}else{
				result[i] = password.charAt(k);
				k++;
			}
		}

		return String.valueOf(result);
	}

	/**
	 * 密文解密出时间戳和密码
	 * @param token 密文
	 * @param mapper 时间戳乱序映射关系
	 * @return Token对象
	 */
	public static Token decode(String token, int[] mapper){
		int j = 0, k = 0;
		int len = token.length(), tLen = mapper.length, pLen = len-tLen;
		char[] timestamp = new char[tLen], password = new char[pLen];
		for(int i=0; i<len; i++){
			if((i%2==0 && j<tLen) || k>=pLen){
				timestamp[mapper[j]] = token.charAt(i);
				j++;
			}else{
				password[k] = token.charAt(i);
				k++;
			}
		}

		String time = String.valueOf(timestamp);
		String pwd = String.valueOf(password);
		time = new String(Base64.getDecoder().decode(time));
		pwd = new String(Base64.getDecoder().decode(pwd));

		return new Token(Long.valueOf(time), pwd);
	}

	@Data
	@AllArgsConstructor
	static class Token{
		private long timestamp;

		private String password;
	}
}
  • 测试:
import lombok.AllArgsConstructor;
import lombok.Data;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
import java.util.*;

public class Test{
	/**
	 * 缓存上一次认证成功的时间戳
	 */
	private static long lastTimestamp = 0;

	public static void main(String[] args) {
		String password = "abcd12345";

		//时间戳密文有20个字符,0-19的映射关系(随机乱序)
		//加密、解密都需要的映射关系(发送和接收端需保持一致)
		int[] mapper = {15, 6, 17, 4, 10, 11, 13, 8, 19, 2, 0, 14, 12, 3, 9, 18, 16, 1, 5, 7};

		//将时间戳和密码混合在一起生成用于传输的密文
		String tokenVal = TokenUtil.encode(password, mapper);
		System.out.println(tokenVal);

		//接收方解析收到的密文,会得到时间戳和密码
		TokenUtil.Token token = TokenUtil.decode(tokenVal, mapper);
		long timestamp = token.getTimestamp();
		String pwd = token.getPassword();
		System.out.println(timestamp);
		System.out.println(pwd);

		if(timestamp>lastTimestamp && password.equals(pwd)){
			lastTimestamp = timestamp;
			System.out.println("认证通过...");
		}else{
			//即使tokenVal被截获也无法二次使用
			System.out.println("认证失败...");
		}
	}
}
  • 输出:
4YkWAJMjUZ2DTENy=MYzMQU1Mwj=NTz1
1603956561584
abcd12345
认证通过...
咘噜biu
关注
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1750
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
Springboot之登录模块探索(含Token,验证码,网络安全等知识)
yyyy11119的博客
01-19 4089
简介登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题):1.登录时的验证码2.自动登录的实现3.怎么维护前后端登录状态在这和大家分享下我实现此功能的过程,包括一些技术和心得1.登录时的验证码为什么要验证码,原因很简单,止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器验证码的出现,使得每次登录都有个动态变量需要输入,无...
重放、篡改攻击的实现(Java版)
Mango的博客
12-14 4659
重放、篡改攻击的实现(Java版)
Java】如何有效止API的重放攻击?API接口止参数篡改?
DreamSun的博客
07-14 3088
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。
生成一次性令牌,完美token被窃取、伪造!
最新发布
weixin_42335629的博客
07-23 266
注意,这里我只说明思路,不展示具体代码。
connect time out 获取token失败_记一次token安全认证的实践
weixin_39543835的博客
11-25 514
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!本文作者:[Java知音] 瑾似流年推荐阅读1.Java 性能优化:教你提高代码运行的效率2.基于token的多平台身份认证架构设计3.select count(*)底层究竟做了什么?4.Springboot启动原理解析阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT。背景介绍:因项目需...
Token实现重放
时光的脚印
09-27 7860
本文主要内容是使用token重放的代码实现。
java攻击_Java请求中关于如何避免重放攻击
weixin_34611130的博客
02-12 2272
重放攻击介绍重放攻击的方法是使用不重数加随机数该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。加时间戳该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同...
我说是重放攻击java代码
05-24
重放攻击是指攻击者在网络通信过程中截获并重复发送合法的通信报文,以达到欺骗、修改、删除等非法操作的攻击手段。为了重放攻击,可以在通信过程中加入时间戳或随机数等抵制手段。以下是一个简单的重放攻击...
javatoken原理及生成使用机制
weixin_57176230的博客
05-21 7346
常用认证机制介绍 1、HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 这种认证方法的优点是简单,容易理解。 缺点有: 不安全:认证身份信
TokenGenerator:Java令牌生成器
07-08
它们通常包含一些加密数据,比如用户ID、过期时间等,可以止中间人攻击和重放攻击。 2. **Java中的令牌生成**: 在Java中,我们可以使用多种方式生成令牌,如UUID、自定义哈希算法、JWT(JSON Web Tokens)等。...
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口的重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
Java编程:API接口重放攻击(重复攻击)
热门推荐
天将降大任于是人
08-05 1万+
定义
Java基础之《接口安全—止篡改和重放》
csj50的专栏
12-21 2563
只要api接口放在公网上暴露,就会有被攻击的风险,所以需要做好接口安全 一、止篡改 1、什么是篡改 接口篡改是指通过http抓包获取api接口的请求参数,然后篡改api参数的内容,重新发送api请求。比如发送短信验证码、增加积分等 2、如何实现请求接口止篡改 1)采用https方式加密传输,通过抓包就获取不到请求参数,缺点是成本高 2)后台对接口参数进行签名验证,报文头增加sign字段 3、验证的步骤 1)服务端和客户端约定好加密规则 2)客户端按照约定对报文加密(或者签名),获得签名值sign1
Java Web 之Token+Cookie+Session
weixin_30563319的博客
01-21 114
发展史: 1. 早期的WEB基本上就是文档的浏览而已,服务器不需要记录谁在某个时间都浏览了什么文档,每次请求都是全新的HTTP协议。 2. 随着交互式WEB应用的兴起,例如在线购物网站,需要登录的网站等,则需要对会话进行管理,分别记录每个用户放入购物车中的商品,记录用户的登陆信息等,因为HTTP请求是无状态的,即:用户第一次发起请求与服务器建立连接并登录成功后,为了避免每次打开一个页面都需要登...
Java请求中关于如何避免重放攻击
weixin_42960380的博客
06-25 7707
重放攻击介绍 (入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。–介绍引用网址https://www.jianshu.com/p/7887f16581c0 御手段 重放攻击的方法是使用不重数 加随机数 该方法优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用...
java代码
silencezyn1208的博客
03-10 2563
一、表单重复提交的常见应用场景 1、在网络延迟的情况下让用户又是加你点击多次submit按钮导致 2、表单提交后用户点击刷新按钮导致表单重复提交 3、用户表单提交后,点击浏览器后退按钮退回表单页面后进行再次提交。 二、解决办法 1、利用javaScript止表单重复提交<%@ page language="java" import="java.util.*
java 止用户重复登录_java使用token止用户重复登录以及验证用户登录
weixin_42139429的博客
02-12 1162
登录成功后,使用用户id构造生成一个token并保存到redis中,同时也保存用户id到session中生成token的代码如下:@Overridepublic String createToken(String phone,String appId) throwsException {long loginTime =DateUtil.getNowTimeStampTime().getTime()...
jwt重放攻击_JWT+ASP.NET MVC 时间戳重放攻击
weixin_39525255的博客
12-19 124
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值