接口防篡改+防重放攻击

接口防止重放攻击:重放攻击是指攻击者截获了一次有效请求(如交易请求),并在之后的时间里多次发送相同的请求,从而达到欺骗系统的目的。为了防止重放攻击,通常需要在系统中引入一种机制,使得每个请求都有一个唯一的标识符(如时间戳、序列号等),并在处理请求时检查这个标识符,确保请求没有被重复处理。
接口幂等性:幂等性是指一个操作具有不变性,即多次执行该操作会产生相同的结果。例如,支付金额、提交表单等操作都具有幂等性。为了保证系统的幂等性,需要确保在处理请求时,对于相同的输入参数,系统只执行一次相应的操作,而不会对同一个输入参数进行多次处理。这可以通过在数据库中设置唯一约束、使用乐观锁等方式实现。

方案:

接口防止重放攻击:基于nonce + timestamp 的方案
nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。

此时服务端的处理流程如下:

        去 redis 中查找是否有 key 为 nonce:{nonce}的 string

        如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。

        如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。

接口安全设计之防篡改和防重放_接口防篡改机制-CSDN博客

如何保证接口安全,做到防篡改防重放?_接口防止串改-CSDN博客(下面的代码参加该博客)

防篡改

我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。

举个例子, 现在有个充值的接口,调用后可以给用户增加对应的余额。

http://localhost/api/user/recharge?user_id=1001&amount=10

如果非法用户通过抓包获取到接口参数后,修改user_id 或 amount的值就可以实现给任意账户添加余额的目的。

如何解决

采用https协议可以将传输的明文进行加密,但是黑客仍然可以截获传输的数据包,进一步伪造请求进行重放攻击。如果黑客使用特殊手段让请求方设备使用了伪造的证书进行通信,那么https加密的内容也会被解密。

一般的做法有2种:

采用https方式把接口的数据进行加密传输,即便是被黑客破解,黑客也花费大量的时间和精力去破解。

接口后台对接口的请求参数进行验证,防止被黑客篡改;

步骤1:客户端使用约定好的秘钥对传输的参数进行加密,得到签名值sign1,并且将签名值也放入请求的参数中,发送请求给服务端

步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。

步骤3:服务端比对sign1和sign2的值,如果不一致,就认定为被篡改,非法请求。

防重放

防重放也叫防复用,简单来说就是我获取到这个请求的信息之后什么也不改,,直接拿着接口的参数 重复请求这个充值的接口。此时我的请求是合法的,
因为所有参数都是跟合法请求一模一样的。

重放攻击会造成两种后果:

  1. 针对插入数据库接口:重放攻击,会出现大量重复数据,甚至垃圾数据会把数据库撑爆。

  2. 针对查询的接口:黑客一般是重点攻击慢查询接口,例如一个慢查询接口1s,只要黑客发起重放攻击,就必然造成系统被拖垮,数据库查询被阻塞死。

对于重放攻击一般有两种做法:

基于timestamp的方案

每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。

一般情况下,黑客从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了。如果黑客修改timestamp参数为当前的时间戳,则sign1参数对应的数字签名就会失效,因为黑客不知道签名秘钥,没有办法生成新的数字签名。

但是这种方式的漏洞也是显而易见,如果在60s之内进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效。

老鸟们一般会采取下面这种方案,既可以解决接口重放问题,又可以解决接口一次请求有效的问题。

基于nonce + timestamp 的方案

nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。

此时服务端的处理流程如下:

  1. 去 redis 中查找是否有 key 为 nonce:{nonce}的 string

  2. 如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。

  3. 如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。

这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。

放篡改+防重放实现代码实现

接下来通过实际代码来看看如何实现接口的防篡改和防重放。

1、构建请求头对象
@Data
@Builder
public class RequestHeader {private String sign ;private Long timestamp ;private String nonce;
}
2、工具类从HttpServletRequest获取请求参数
@Slf4j
@UtilityClass
public class HttpDataUtil {/*** post请求处理:获取 Body 参数,转换为SortedMap** @param request*/public  SortedMap<String, String> getBodyParams(final HttpServletRequest request) throws IOException {byte[] requestBody = StreamUtils.copyToByteArray(request.getInputStream());String body = new String(requestBody);return JsonUtil.json2Object(body, SortedMap.class);}/*** get请求处理:将URL请求参数转换成SortedMap*/public static SortedMap<String, String> getUrlParams(HttpServletRequest request) {String param = "";SortedMap<String, String> result = new TreeMap<>();if (StringUtils.isEmpty(request.getQueryString())) {return result;}try {param = URLDecoder.decode(request.getQueryString(), "utf-8");} catch (UnsupportedEncodingException e) {e.printStackTrace();}String[] params = param.split("&");for (String s : params) {String[] array=s.split("=");result.put(array[0], array[1]);}return result;}
}

这里的参数放入SortedMap中对其进行字典排序,前端构建签名时同样需要对参数进行字典排序。

3、签名验证工具类
@Slf4j
@UtilityClass
public class SignUtil {/*** 验证签名* 验证算法:把timestamp + JsonUtil.object2Json(SortedMap)合成字符串,然后MD5*/@SneakyThrowspublic  boolean verifySign(SortedMap<String, String> map, RequestHeader requestHeader) {String params = requestHeader.getNonce() + requestHeader.getTimestamp() + JsonUtil.object2Json(map);return verifySign(params, requestHeader);}/*** 验证签名*/public boolean verifySign(String params, RequestHeader requestHeader) {log.debug("客户端签名: {}", requestHeader.getSign());if (StringUtils.isEmpty(params)) {return false;}log.info("客户端上传内容: {}", params);String paramsSign = DigestUtils.md5DigestAsHex(params.getBytes()).toUpperCase();log.info("客户端上传内容加密后的签名结果: {}", paramsSign);return requestHeader.getSign().equals(paramsSign);}
}
4、HttpServletRequest包装类
public class SignRequestWrapper extends HttpServletRequestWrapper {//用于将流保存下来private byte[] requestBody = null;public SignRequestWrapper(HttpServletRequest request) throws IOException {super(request);requestBody = StreamUtils.copyToByteArray(request.getInputStream());}@Overridepublic ServletInputStream getInputStream() throws IOException {final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);return new ServletInputStream() {@Overridepublic boolean isFinished() {return false;}@Overridepublic boolean isReady() {return false;}@Overridepublic void setReadListener(ReadListener readListener) {}@Overridepublic int read() throws IOException {return bais.read();}};}@Overridepublic BufferedReader getReader() throws IOException {return new BufferedReader(new InputStreamReader(getInputStream()));}
}

防篡改和防重放我们会通过SpringBoot
Filter来实现,而编写的filter过滤器需要读取request数据流,但是request数据流只能读取一次,需要自己实现HttpServletRequestWrapper对数据流包装,目的是将request流保存下来。

5、创建过滤器实现安全校验
@Configuration
public class SignFilterConfiguration {@Value("${sign.maxTime}")private String signMaxTime;//filter中的初始化参数private Map<String, String> initParametersMap =  new HashMap<>();@Beanpublic FilterRegistrationBean contextFilterRegistrationBean() {initParametersMap.put("signMaxTime",signMaxTime);FilterRegistrationBean registration = new FilterRegistrationBean();registration.setFilter(signFilter());registration.setInitParameters(initParametersMap);registration.addUrlPatterns("/sign/*");registration.setName("SignFilter");// 设置过滤器被调用的顺序registration.setOrder(1);return registration;}@Beanpublic Filter signFilter() {return new SignFilter();}
}
@Slf4j
public class SignFilter implements Filter {@Resourceprivate RedisUtil redisUtil;//从fitler配置中获取sign过期时间private Long signMaxTime;private static final String NONCE_KEY = "x-nonce-";@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;log.info("过滤URL:{}", httpRequest.getRequestURI());HttpServletRequestWrapper requestWrapper = new SignRequestWrapper(httpRequest);//构建请求头RequestHeader requestHeader = RequestHeader.builder().nonce(httpRequest.getHeader("x-Nonce")).timestamp(Long.parseLong(httpRequest.getHeader("X-Time"))).sign(httpRequest.getHeader("X-Sign")).build();//验证请求头是否存在if(StringUtils.isEmpty(requestHeader.getSign()) || ObjectUtils.isEmpty(requestHeader.getTimestamp()) || StringUtils.isEmpty(requestHeader.getNonce())){responseFail(httpResponse, ReturnCode.ILLEGAL_HEADER);return;}/** 1.重放验证* 判断timestamp时间戳与当前时间是否操过60s(过期时间根据业务情况设置),如果超过了就提示签名过期。*/long now = System.currentTimeMillis() / 1000;if (now - requestHeader.getTimestamp() > signMaxTime) {responseFail(httpResponse,ReturnCode.REPLAY_ERROR);return;}//2. 判断nonceboolean nonceExists = redisUtil.hasKey(NONCE_KEY + requestHeader.getNonce());if(nonceExists){//请求重复responseFail(httpResponse,ReturnCode.REPLAY_ERROR);return;}else {redisUtil.set(NONCE_KEY+requestHeader.getNonce(), requestHeader.getNonce(), signMaxTime);}boolean accept;SortedMap<String, String> paramMap;switch (httpRequest.getMethod()){case "GET":paramMap = HttpDataUtil.getUrlParams(requestWrapper);accept = SignUtil.verifySign(paramMap, requestHeader);break;case "POST":paramMap = HttpDataUtil.getBodyParams(requestWrapper);accept = SignUtil.verifySign(paramMap, requestHeader);break;default:accept = true;break;}if (accept) {filterChain.doFilter(requestWrapper, servletResponse);} else {responseFail(httpResponse,ReturnCode.ARGUMENT_ERROR);return;}}private void responseFail(HttpServletResponse httpResponse, ReturnCode returnCode)  {ResultData<Object> resultData = ResultData.fail(returnCode.getCode(), returnCode.getMessage());WebUtils.writeJson(httpResponse,resultData);}@Overridepublic void init(FilterConfig filterConfig) throws ServletException {String signTime = filterConfig.getInitParameter("signMaxTime");signMaxTime = Long.parseLong(signTime);}
}
6、Redis工具类
@Component
public class RedisUtil {@Resourceprivate RedisTemplate<String, Object> redisTemplate;/*** 判断key是否存在* @param key 键* @return true 存在 false不存在*/public boolean hasKey(String key) {try {return Boolean.TRUE.equals(redisTemplate.hasKey(key));} catch (Exception e) {e.printStackTrace();return false;}}/*** 普通缓存放入并设置时间* @param key   键* @param value 值* @param time  时间(秒) time要大于0 如果time小于等于0 将设置无限期* @return true成功 false 失败*/public boolean set(String key, Object value, long time) {try {if (time > 0) {redisTemplate.opsForValue().set(key, value, time, TimeUnit.SECONDS);} else {set(key, value);}return true;} catch (Exception e) {e.printStackTrace();return false;}}/*** 普通缓存放入* @param key   键* @param value 值* @return true成功 false失败*/public boolean set(String key, Object value) {try {redisTemplate.opsForValue().set(key, value);return true;} catch (Exception e) {e.printStackTrace();return false;}}}
项目源码地址

https://github.com/jianzh5/cloud-blog/tree/main/cloud-demo

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/34753.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

深度学习训练基于Pod和RDMA

目录 ​编辑 引言 RDMA技术概述 InfiniBand iWARP RoCE Pod和容器化环境 深度学习训练与RDMA结合 MPI和RDMA 深度学习框架与RDMA 实战&#xff1a;基于Pod和RDMA的深度学习训练 环境准备 步骤 YAML 性能和优势 结论 引言 随着深度学习在人工智能领域的快速发展…

使用Tauri+vite+koa2+mysql开发了一款待办效率应用

&#x1f389;使用Taurivitekoa2mysql开发了一款待办效率应用 &#x1f4dd;项目概述 这是一个基于taurivite的应用&#xff0c;它采用了一些最新的前端技术&#xff0c;包括 Tauri、Vue3、Vite5、koa2 和 mysql。它提供了丰富的效率管理工具。 应用地址&#xff1a;https:/…

Openldap安装部署及Gitea简单配置使用

Openldap安装部署及Gitea简单配置使用 一.安装Openldap #拉取镜像 docker pull osixia/openldap:latestdocker run \ -d \ -p 389:389 \ -p 636:636 \ -v /home/data/openldap/local:/usr/local/ldap \ -v /home/data/openldap/lib:/var/lib/ldap \ -v /home/data/openldap/s…

OceanBase 列存中多列过滤性能解析

今天有同事问我&#xff0c;列存大宽表场景下&#xff0c;如果在多个列上有等值过滤条件&#xff0c;OceanBase 的性能是不是无法满足要求&#xff1f; Hi 晓楚&#xff0c;帮评估个OTS替换场景 大概1亿大宽表&#xff0c;查询姿势就是任意字段的组合&#xff0c;进行等值查询g…

海外青云私有云:企业的数字化转型得力助手

在全球化日益加深的今天&#xff0c;海外企业对于云计算的需求也愈发迫切。青云(QingCloud)作为一家领先的云计算服务提供商&#xff0c;其私有云产品在海外市场上受到了广泛的关注和认可。那么&#xff0c;海外青云私有云究竟有何用处呢?本文将从多个角度为您科普。 首先&…

Java高级重点知识点-10-Object类

文章目录 Object类(java.lang) Object类(java.lang) Object类是Java语言中的根类&#xff0c;即所有类的父类 重点&#xff1a; public String toString()&#xff1a;返回该对象的字符串表示。 public class User {private String username;private String password;public…

地雷数量求解(二维数组)

问题描述 为了保证边境重要的军事基地不会被敌人入侵&#xff0c;我军在敌军的必经之路上埋了 &#x1d465; 颗地雷&#xff0c;已知这片必经之地是 &#x1d45b;&#x1d45a; 的方阵形状&#xff0c;为了让我们的友军知道哪些地方是有地雷的&#xff0c;我军工兵绘制了一张…

LeetCode刷题之HOT100之乘积最大子数组

2024/6/25 六月也来到了末尾&#xff0c;刷题也刷了一个半月左右。收获还是有的&#xff0c;最起码打字快了哈哈&#xff0c;做题啦&#xff01; 1、题目描述 2、逻辑分析 一眼动态规划。 解题思路 遍历数组时计算当前最大值&#xff0c;不断更新令nowMax 为当前最大值&…

java的线程

定义&#xff1a;在java中&#xff0c;线程是程序中一个独立的执行流&#xff0c;它拥有自己的核心运行逻辑和状态。在操作系统中&#xff0c;线程是进程的一部分&#xff0c;是程序执行的最小单元。 重要性&#xff1a;多线程使得程序能够更好的利用CPU资源&#xff0c;同时处…

AI大模型企业应用实战:Prompt让LLM理解知识

1 Prompt Prompt 可理解为指导AI模型生成特定类型、主题或格式内容的文本。 NLP中&#xff0c;Prompt 通常由一个问题或任务描述组成&#xff0c;如“给我写一篇有关RAG的文章”&#xff0c;这句话就是Prompt。 Prompt赋予LLM小样本甚至零样本学习的能力&#xff1a; LLM能力…

Linux驱动开发(三)--新字符设备驱动开发 LED驱动开发升级

1、新字符设备驱动原理 使用 register_chrdev 函数注册字符设备的时候只需要给定一个主设备号即可&#xff0c;但是这样会 带来两个问题 需要我们事先确定好哪些主设备号没有使用 会将一个主设备号下的所有次设备号都使用掉&#xff0c;比如现在设置 LED 这个主设备号为200&…

从50分到90分,网站性能优化实践

难以置信: 我可是用尊贵的Vue3Ts开发的呢 (手动狗头). 十分抗拒: 迫于yin威,我给网站做了体检和手术. 体检 – 市面上的体检套餐有很多种,但其实都是换汤不换药.那药(标准)是什么呢?我们会在下面说明.这里我选择了谷歌亲儿子"灯塔"(LightHouse)进行性能体检. 体检…

Scala入门:打造大数据处理的超能力(通俗易懂)

Scala是一门现代的多范式编程语言&#xff0c;它融合了面向对象和函数式编程的特点&#xff0c;被广泛应用于大数据处理领域。本文将详细介绍Scala的基本概念、使用方法、主要作用以及注意事项。 一、Scala简介 1. Scala的起源 Scala由Martin Odersky于2004年创建&#xff0c…

解决 vue 项目一直出现 sockjs-node/info?t=问题

其实如果是在开发环境&#xff0c;应该是开发的时候网络环境变更导致&#xff0c;比如你切换无线网络&#xff0c;导致开发服务器的IP地址换了&#xff0c;这样开发服务器会不知道如何确定访问源。开发环境中关闭npm dev server&#xff0c;然后重新npm run serve重新构建服务环…

探索AI世界系列:俗说AI智能体

AI agent&#xff0c;翻译为中文就是AI智能体。 什么是AI智能体呢&#xff1f; 一&#xff0c;GPT对AI智能体的定义 AI智能体&#xff0c;即人工智能体&#xff08;Artificial Intelligence Agent&#xff09;&#xff0c;是具有自主性、学习能力和推理能力的计算机程序。 …

聚观早报 | 小鹏MONA M03曝光;iPhone 16系列电池改进

聚观早报每日整理最值得关注的行业重点事件&#xff0c;帮助大家及时了解最新行业动态&#xff0c;每日读报&#xff0c;就读聚观365资讯简报。 整理丨Cutie 6月25日消息 小鹏MONA M03曝光 iPhone 16系列电池改进 一加Ace 3 Pro三款配色 字节跳动与博通合作开发AI芯片 蚂…

【性能优化】Android冷启动优化

文章目录 常见现象APP的启动流程计算启动时间Displayed Timeadb dump 启动优化具体策略总结参考链接 常见现象 各种第三方工具初始化和大量业务逻辑初始化&#xff0c;影响启动时间&#xff0c;导致应用启动延迟、卡顿等现象 APP的启动流程 加载和启动应用程序&#xff1b; …

学习笔记STMF4 TIMER定时器(使用开发板立创天空星STMF4)

目录 #定时器的介绍 #怎么去理解定时器的预分频系数 #使用定时器实现完成触发中断 #定时器触发中断基本函数配置 #在使用TIMER 触发中断的时候为什么不需要配置EXTI中断这个选项 #使用定时器完成输出PWM #PWM基本知识介绍 #函数配置生成PWM 这个系列所有笔记用来记录&#x…

【OnlyOffice】 桌面应用编辑器,版本8.1发布,PDF编辑器、幻灯片版式、改进从右至左显示、新的本地化选项等功能,快来体验吧

继 ONLYOFFICE 文档 8.1 发布后&#xff0c;适用于 Linux、Windows 和 macOS 的 ONLYOFFICE 桌面应用程序最新版本也已推出。它具有在线套件的最主要功能&#xff0c;例如功能齐全的 PDF 编辑器、演示文稿中的幻灯片版式、改进的 RTL 支持、新的本地化选项等。 目录 ONLYOFFICE…

手机看cad图的软件有哪些?软件推荐

手机看cad图的软件有哪些&#xff1f;随着科技的不断发展&#xff0c;CAD图纸在手机上的查看和编辑需求日益增加。为了满足这一需求&#xff0c;市面上涌现出了众多手机CAD看图软件。本文将为大家推荐四款优秀的手机CAD看图软件&#xff0c;并分别介绍它们的功能特点、受众定位…