江苏龙网

  1. 主页 > 生活百科 > >

API接口防止参数篡改和重放攻击

API接口

问题的起源在直播服务中,有一个敏感词的检测的需求:当用户发送聊天消息之前,调用接口验证消息是否包含敏感词,我们使用了阿里云的文本安全服务,这是一个按照次数收费的服务,所以接口要求防止参数篡改和重放攻击 。
【API接口防止参数篡改和重放攻击】API重放攻击: 就是把之前窃听到的数据原封不动的重新发送给接收方(测试大佬肯定知道)
常用的其他业务场景还有:

  • 发送短信接口
  • 支付接口
基于timestamp和nonce的方案
微信支付的接口就是这样做的
timestamp的作用每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名 。HTTP请求从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求 。
一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名 。
但这种方式的漏洞也是显而易见的,如果在60s之后进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效
nonce的作用nonce的意思是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同 。我们将每次请求的nonce参数存储到一个“集合”中,每次处理HTTP请求时,首先判断该请求的nonce参数是否在该“集合”中,如果存在则认为是非法请求 。
nonce参数在首次请求时,已经被存储到了服务器上的“集合”中,再次发送请求会被识别并拒绝 。
nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名 。
这种方式也有很大的问题,那就是存储nonce参数的“集合”会越来越大 。
nonce的一次性可以解决timestamp参数60s(防止重放攻击)的问题,timestamp可以解决nonce参数“集合”越来越大的问题 。
防篡改、防重放攻击 拦截器@Slf4jpublic class SignAuthInterceptor implements HandlerInterceptor {private redisTemplate<String, String> redisTemplate;private String key;public SignAuthInterceptor(RedisTemplate<String, String> redisTemplate, String key) {this.redisTemplate = redisTemplate;this.key = key;}@Overridepublic boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {// 获取时间戳String timestamp = request.getHeader("timestamp");// 获取随机字符串String nonceStr = request.getHeader("nonceStr");// 获取签名String signature = request.getHeader("signature");// 判断时间是否大于xx秒(防止重放攻击)long NONCE_STR_TIMEOUT_SECONDS = 60L;if (StrUtil.isEmpty(timestamp) || DateUtil.between(DateUtil.date(Long.parseLong(timestamp) * 1000), DateUtil.date(), DateUnit.SECOND) > NONCE_STR_TIMEOUT_SECONDS) {throw new BusinessException("invalidtimestamp");}// 判断该用户的nonceStr参数是否已经在redis中(防止短时间内的重放攻击)Boolean haveNonceStr = redisTemplate.hasKey(nonceStr);if (StrUtil.isEmpty(nonceStr) || Objects.isNull(haveNonceStr) || haveNonceStr) {throw new BusinessException("invalid nonceStr");}// 对请求头参数进行签名if (StrUtil.isEmpty(signature) || !Objects.equals(signature, this.signature(timestamp, nonceStr, request))) {throw new BusinessException("invalid signature");}// 将本次用户请求的nonceStr参数存到redis中设置xx秒后自动删除redisTemplate.opsForValue().set(nonceStr, nonceStr, NONCE_STR_TIMEOUT_SECONDS, TimeUnit.SECONDS);return true;}private String signature(String timestamp, String nonceStr, HttpServletRequest request) throws UnsupportedEncodingException {Map<String, Object> params = new HashMap<>(16);Enumeration<String> enumeration = request.getParameterNames();if (enumeration.hasMoreElements()) {String name = enumeration.nextElement();String value = https://www.isolves.com/it/cxkf/bk/2020-05-13/request.getParameter(name);params.put(name, URLEncoder.encode(value, CommonConstants.UTF_8));}String qs = String.format("%s譼amp=%s&nonceStr=%s&key=%s", this.sortQueryParamString(params), timestamp, nonceStr, key);log.info("qs:{}", qs);String sign = SecureUtil.md5(qs).toLowerCase();log.info("sign:{}", sign);return sign;}/*** 按照字母顺序进行升序排序** @param params 请求参数。注意请求参数中不能包含key* @return 排序后结果*/private String sortQueryParamString(Map params) {List listKeys = Lists.newArrayList(params.keySet());Collections.sort(listKeys);StrBuilder content = StrBuilder.create();for (String param : listKeys) {content.Append(param).append("=").append(params.get(param).toString()).append("&");}if (content.length() > 0) {return content.subString(0, content.length() - 1);}return content.toString();}}


推荐阅读


上一篇:秋天适合喝菊花茶吗,孕妇可以喝菊花茶吗

下一篇:山楂泡水喝可以去油是不是,玫瑰花茶泡水喝的功效