REST API 的指纹验证机制

前端或者客户端涉及数据相关的请求都是不安全的,从某种意义上只能通过一些手段降低请求不被容易使用。本来来介绍一种基于 JWT 的指纹机制。

关于 JWT 令牌机制就不详细介绍了。在 JWT 令牌中包含系统 JWT 指纹可以带来安全改进,而不会给用户带来任何不便。

什么是浏览器指纹识别?

浏览器指纹识别背后的思路是收集有关浏览器及其环境的信息以进行识别。这些属性包括浏览器类型和版本、操作系统、语言、时区、活动插件、安装的字体、屏幕分辨率、CPU 级别、设备内存和各种其他设置。这些属性被连接成一个长字符串,指纹被定义为该字符串的哈希值。

可能会问这些浏览器指纹有多独特,重复性会很大。事实证明,它们在大多数情况下是独一无二的。如果浏览器指纹碰巧不是唯一的,则可以通过将其与设备的 IP 地址相结合来使其唯一。

指纹实现思路

在 REST API 请求系统中可以通过很多参数来识别,而可以作为指纹的可以是一下信息,而这些信息大部分是在请求头里面:

  • IP地址:IP地址以及国家/地区、ISP、组织或 ASN 编号等,详细可以参阅 ipwhois.app/json/8.8.8....
  • User agent:前端请求设备信息
  • Language:用户使用的语言
  • sec-ch-ua

根据需要 JWT 指纹的敏感度,来取决组合创建指纹的参数数量。这里提供一种参考的组合:

sql 复制代码
sec-ch-ua user-agent accept-language upgrade-insecure-requests Ip ASN ORG

这是常见浏览器的指纹示例:

arduino 复制代码
192.168.1.250 : "Google Chrome";v="89", "Google Chrome";v="119", "Chromium";v="119", "Not?A_Brand";v="24" :
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 :
zh-CN,zh;q=0.9,en;q=0.8,ja;q=0.7 : 1

对应的参数:

sql 复制代码
ip : sec-ch-ua : user-agent : accept-language : upgrade-insecure-req

所以现在有了一个指纹,它是在请求 JWT 令牌的同时生成的。可以根据特定用例添加或删除其中的元素。通常,可能将 IP 地址替换为国家/地区、ISP、组织、ASN 号码,或者将其删除并仅使用已知的标头信息。

将这些信息通过一个序列方式拼接为字符串,然后进行 MD5 转换,通常如下:

5dc9db757608b61e3a04bd1e08dd25c3

将生成的指纹添加到 JSON Payload 中。

总结

这里只是提供了一种简单的思路,但这不能完全避免非法的无效请求,只是增加了获取模拟请求的难度。为了提高指纹的唯一性,需要增加一些独特的属性数据。

相关推荐
木子020437 分钟前
前端VUE项目启动方式
前端·javascript·vue.js
endingCode1 小时前
45.坑王驾到第九期:Mac安装typescript后tsc命令无效的问题
javascript·macos·typescript
Myli_ing2 小时前
HTML的自动定义倒计时,这个配色存一下
前端·javascript·html
I_Am_Me_2 小时前
【JavaEE进阶】 JavaScript
开发语言·javascript·ecmascript
℘团子এ3 小时前
vue3中如何上传文件到腾讯云的桶(cosbrowser)
前端·javascript·腾讯云
学习前端的小z3 小时前
【前端】深入理解 JavaScript 逻辑运算符的优先级与短路求值机制
开发语言·前端·javascript
前端百草阁3 小时前
【TS简单上手,快速入门教程】————适合零基础
javascript·typescript
彭世瑜3 小时前
ts: TypeScript跳过检查/忽略类型检查
前端·javascript·typescript
Backstroke fish3 小时前
Token刷新机制
前端·javascript·vue.js·typescript·vue
zwjapple3 小时前
typescript里面正则的使用
开发语言·javascript·正则表达式