日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
再談前后端API簽名安全?

上次《前后端API交互如何保證數(shù)據(jù)安全性?》文章中,我們介紹了如何在Spring Boot框架中去統(tǒng)一處理數(shù)據(jù)的加解密。對于請求的加密也只做了POST請求的自動加密,今天接著上文來繼續(xù)介紹GET請求的安全性如何保證?

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了橫峰免費建站歡迎大家使用!

首先我們來看一個簡單的GET請求:

  • http://cxytiandi.com/user?name=yinjihuan

首先很明顯的是我們可以看到name參數(shù)是明文的,如果對安全性要求很高,建議查詢也用POST請求,前面我們對所有POST請求的參數(shù)都做了加密操作。

無論是GET還是POST都可以做簽名

明文沒關(guān)系,關(guān)鍵是這個請求我復制到瀏覽器中打開,把name改成別的值,如果真的存在的話也是能返回結(jié)果的。問題就在這,參數(shù)被修改了,后端無法識別,這是***個問題。

第二個問題是這個請求可以***的使用,就是你明天去請求這個地址它還能返回結(jié)果,這個其實也需要控制下,當然控制的方式有很多種,今天我們會介紹一種比較簡單的方式來控制。

***種方式

參數(shù)中加簽名,前后端約定一個key,將參數(shù)按照字母排序拼接成一個字符串,然后拼接上key,***用MD5或者SHA進行加密,***得到一個加密的簽名,作為參數(shù)傳到后端進行驗證。

比如:

 
 
 
    
  
  
  
  1. name=yinjihuan&sign=MD5(name=yinjihuan+key) 
    2.

后端我們可以統(tǒng)一在過濾器中進行驗證,取得參數(shù)sign的值,取得請求的所有參數(shù),同時也按照前端生成sign的方式生成一個新的sign,對兩個sign進行比較,如果相等,就證明參數(shù)沒有被篡改。

為了防止一個請求被多次使用,我們通常會再sign中加上請求那刻的時間戳,服務(wù)器這邊會判斷時間差,如果在10分鐘內(nèi)可以讓它繼續(xù)執(zhí)行,當然這個10分鐘你可以自己去調(diào)整,長一點主要是為了方式客戶端和服務(wù)器時間不一樣的問題,當然這種情況不能完全避免。

第二種方式

第二種方式比較簡單,因為我們前面講過了請求的數(shù)據(jù)加解密,既然我們有了加密的key和加密算法,其實完全可以將簽名的內(nèi)容用我們的加密算法進行加密,上面用的md5方式不是很安全,md5是可以被破解的。

同時因為我這邊用的axios來請求數(shù)據(jù),可以使用請求攔截器,在請求之前統(tǒng)一對請求進行簽名操作,不用在每個地方單獨去處理。

在使用get請求時,我們用下面的方式:

 
 
 
    
  
  
  
  1. axios.get('/user', { 
    2.   
  
  
  2.     params: { 
    3.   
  
  
  3.       ID: 12345 
    4.   
  
  
  4.     } 
    5.   
  
  
  5. }) 
    6.   
  
  
  6. .then(function (response) { 
    7.   
  
  
  7.     console.log(response); 
    8.   
  
  
  8.   }) 
    9.   
  
  
  9.  .catch(function (error) { 
    10.   
  
  
  10.     console.log(error); 
    11.   
  
  
  11. }); 
    12.

然后在請求攔截器中我們可以通過params就可以獲取當前請求的所有參數(shù)信息,這邊我們不采用拼接的方式,直接往params中添加一個signTime(簽名時間),然后用對整個params進行加密得到一個sign,通過請求頭傳遞到后臺。

此時到后臺的數(shù)據(jù)就是參數(shù)信息+簽名時間,比如:{name:"yjh",signTime:19210212121212}, 簽名就是{name:"yjh",signTime:19210212121212}加密的內(nèi)容。

 
 
 
    
  
  
  
  1. // 添加請求攔截器 
    2.   
  
  
  2. axios.interceptors.request.use(function (config) { 
    3.   
  
  
  3.      // 在發(fā)送請求之前做些什么 
    4.   
  
  
  4.     if (config.method == "get"){ 
    5.   
  
  
  5.        var newParams = config.params; 
    6.   
  
  
  6.        console.log(newParams); 
    7.   
  
  
  7.        if (newParams == undefined) { 
    8.   
  
  
  8.            newParams = new Object(); 
    9.   
  
  
  9.        } 
    10.   
  
  
  10.        newParams.signTime = new Date().getTime(); 
    11.   
  
  
  11.        config.headers.sign = EncryptData(JSON.stringify(newParams)); 
    12.   
  
  
  12.        console.log(JSON.stringify(config)); 
    13.   
  
  
  13.     } 
    14.   
  
  
  14.     if (config.method == "post"){ 
    15.   
  
  
  15.        var newParams = new Object(); 
    16.   
  
  
  16.        newParams.signTime = new Date().getTime(); 
    17.   
  
  
  17.        config.headers.sign = EncryptData(JSON.stringify(newParams)); 
    18.   
  
  
  18.     } 
    19.   
  
  
  19.     return config; 
    20.   
  
  
  20.   }, function (error) { 
    21.   
  
  
  21.     // 對請求錯誤做些什么 
    22.   
  
  
  22.     return Promise.reject(error); 
    23.   
  
  
  23.  }); 
    24.

后端可以在過濾器中進行簽名校驗,代碼如下:

 
 
 
    
  
  
  
  1. /** 
    2.   
  
  
  2.  * 請求簽名驗證過濾器
     
    3.   
  
  
  3.  *  
    4.   
  
  
  4.  * 請求頭中獲取sign進行校驗,判斷合法性和是否過期
     
    5.   
  
  
  5.  *  
    6.   
  
  
  6.  * sign=加密({參數(shù):值, 參數(shù)2:值2, signTime:簽名時間戳}) 
    7.   
  
  
  7.  * @author yinjihuan 
    8.   
  
  
  8.  *  
    9.   
  
  
  9.  * @about http://cxytiandi.com/about 
    10.   
  
  
  10.  * 
    11.   
  
  
  11.  */ 
    12.   
  
  
  12. public class SignAuthFilter implements Filter { 
    13.   
  
  
  13.  
    14.   
  
  
  14.     private EncryptProperties encryptProperties; 
    15.   
  
  
  15.  
    16.   
  
  
  16.     @Override 
    17.   
  
  
  17.     public void init(FilterConfig filterConfig) throws ServletException { 
    18.   
  
  
  18.         ServletContext context = filterConfig.getServletContext();   
    19.   
  
  
  19.         ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context); 
    20.   
  
  
  20.         encryptProperties = ctx.getBean(EncryptProperties.class); 
    21.   
  
  
  21.     } 
    22.   
  
  
  22.  
    23.   
  
  
  23.     @SuppressWarnings("unchecked") 
    24.   
  
  
  24.     @Override 
    25.   
  
  
  25.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
    26.   
  
  
  26.             throws IOException, ServletException { 
    27.   
  
  
  27.         HttpServletRequest req = (HttpServletRequest) request; 
    28.   
  
  
  28.         HttpServletResponse resp = (HttpServletResponse) response; 
    29.   
  
  
  29.         if (req.getMethod().equals("OPTIONS")) { 
    30.   
  
  
  30.             chain.doFilter(request, response); 
    31.   
  
  
  31.             return; 
    32.   
  
  
  32.         } 
    33.   
  
  
  33.         resp.setCharacterEncoding("UTF-8"); 
    34.   
  
  
  34.         String sign = req.getHeader("sign"); 
    35.   
  
  
  35.         if (!StringUtils.hasText(sign)) { 
    36.   
  
  
  36.             PrintWriter print = resp.getWriter(); 
    37.   
  
  
  37.             print.write("非法請求:缺少簽名信息"); 
    38.   
  
  
  38.             return; 
    39.   
  
  
  39.         } 
    40.   
  
  
  40.         try { 
    41.   
  
  
  41.             String decryptBody = AesEncryptUtils.aesDecrypt(sign, encryptProperties.getKey()); 
    42.   
  
  
  42.             Map signInfo = JsonUtils.getMapper().readValue(decryptBody, Map.class); 
    43.   
  
  
  43.             Long signTime = (Long) signInfo.get("signTime"); 
    44.   
  
  
  44.  
    45.   
  
  
  45.             // 簽名時間和服務(wù)器時間相差10分鐘以上則認為是過期請求,此時間可以配置 
    46.   
  
  
  46.             if ((System.currentTimeMillis() - signTime) > encryptProperties.getSignExpireTime() * 60000) { 
    47.   
  
  
  47.                 PrintWriter print = resp.getWriter(); 
    48.   
  
  
  48.                 print.write("非法請求:已過期"); 
    49.   
  
  
  49.                 return; 
    50.   
  
  
  50.             } 
    51.   
  
  
  51.  
    52.   
  
  
  52.             // POST請求只處理時間 
    53.   
  
  
  53.             // GET請求處理參數(shù)和時間 
    54.   
  
  
  54.             if(req.getMethod().equals(HttpMethod.GET.name())) { 
    55.   
  
  
  55.                 Set paramsSet = signInfo.keySet(); 
    56.   
  
  
  56.                 for (String key : paramsSet) { 
    57.   
  
  
  57.                     if (!"signTime".equals(key)) { 
    58.   
  
  
  58.                         String signValue = signInfo.get(key).toString(); 
    59.   
  
  
  59.                         String reqValue = req.getParameter(key).toString(); 
    60.   
  
  
  60.                         if (!signValue.equals(reqValue)) { 
    61.   
  
  
  61.                             PrintWriter print = resp.getWriter(); 
    62.   
  
  
  62.                             print.write("非法請求:參數(shù)被篡改"); 
    63.   
  
  
  63.                             return; 
    64.   
  
  
  64.                         } 
    65.   
  
  
  65.                     } 
    66.   
  
  
  66.                 } 
    67.   
  
  
  67.             } 
    68.   
  
  
  68.         } catch (Exception e) { 
    69.   
  
  
  69.             PrintWriter print = resp.getWriter(); 
    70.   
  
  
  70.             print.write("非法請求:" + e.getMessage()); 
    71.   
  
  
  71.             return; 
    72.   
  
  
  72.         } 
    73.   
  
  
  73.         chain.doFilter(request, response); 
    74.   
  
  
  74.     } 
    75.   
  
  
  75.  
    76.   
  
  
  76.     @Override 
    77.   
  
  
  77.     public void destroy() { 
    78.   
  
  
  78.  
    79.   
  
  
  79.     } 
    80.   
  
  
  80.  
    81.   
  
  
    82.

首先我們會對簽名信息進行判斷,沒有則攔截掉,然后進行解密操作,得到簽名時間,判斷有效期,***再根據(jù)解密得到的參數(shù)信息,循環(huán)去和當前請求中的參數(shù)進行比較,只要有一個對不上,那就是參數(shù)被篡改了,這邊我做的比較簡單,對值的判斷都轉(zhuǎn)成字符串來比較,不確定在一些特殊數(shù)據(jù)類型是否有問題,大家可以自己去改。

驗證的代碼我也封裝到了我的那個spring-boot-starter-encrypt中(歡迎Star):https://github.com/yinjihuan/spring-boot-starter-encrypt

只需要配置過濾器即可:

 
 
 
    
  
  
  
  1. /** 
    2.   
  
  
  2.  * 注冊簽名驗證過濾器 
    3.   
  
  
  3.  * @return 
    4.   
  
  
  4.  */ 
    5.   
  
  
  5. @Bean   
    6.   
  
  
  6. public FilterRegistrationBean signAuthFilter() {   
    7.   
  
  
  7.     FilterRegistrationBean registrationBean = new FilterRegistrationBean();   
    8.   
  
  
  8.     registrationBean.setFilter(new SignAuthFilter());   
    9.   
  
  
  9.     registrationBean.setUrlPatterns(Arrays.asList("/rest/*"));   
    10.   
  
  
  10.     return registrationBean;   
    11.   
  
  
    12.

以上代碼大家不一定能用到,我個人認為沒必要復制我的代碼去實驗,理解思路才是你***的選擇。簡單分享,勿噴哈。。。。。。。。。。。


網(wǎng)站標題:再談前后端API簽名安全?
鏈接地址:http://m.5511xx.com/article/cohjhcp.html