电商系统中API接口防止参数篡改和重放攻击(小程序/APP)

说明:目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢?

生鲜电商中API接口防止参数篡改和重放攻击

目录

1. 什么是API参数篡改?

说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。

2. 什么是API重发攻击?

说明:API重放攻击: 就是把之前窃听到的数据原封不动的重新发送给接收方.

3,常用的解决的方案

常用的其他业务场景还有:

  • 发送短信接口

  • 支付接口

基于timestamp和nonce的方案

微信支付的接口就是这样做的

timestamp的作用

每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。HTTP请求从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。

一般情况下,从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了,如果修改timestamp参数为当前的时间戳,则signature参数对应的数字签名就会失效,因为不知道签名秘钥,没有办法生成新的数字签名。

但这种方式的漏洞也是显而易见的,如果在60s之后进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效

nonce的作用

nonce的意思是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同。我们将每次请求的nonce参数存储到一个"集合"中,每次处理HTTP请求时,首先判断该请求的nonce参数是否在该"集合"中,如果存在则认为是非法请求。

nonce参数在首次请求时,已经被存储到了服务器上的"集合"中,再次发送请求会被识别并拒绝。

nonce参数作为数字签名的一部分,是无法篡改的,因为不知道签名秘钥,没有办法生成新的数字签名。

这种方式也有很大的问题,那就是存储nonce参数的"集合"会越来越大。

nonce的一次性可以解决timestamp参数60s(防止重放攻击)的问题,timestamp可以解决nonce参数"集合"越来越大的问题。

防篡改、防重放攻击 拦截器(用到了redis)

复制代码

public class SignAuthInterceptor implements HandlerInterceptor {

private RedisTemplate<String, String> redisTemplate;

private String key;

public SignAuthInterceptor(RedisTemplate<String, String> redisTemplate, String key) {

this.redisTemplate = redisTemplate;

this.key = key;

}

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

// 获取时间戳

String timestamp = request.getHeader("timestamp");

// 获取随机字符串

String nonceStr = request.getHeader("nonceStr");

// 获取签名

String signature = request.getHeader("signature");

// 判断时间是否大于xx秒(防止重放攻击)

long NONCE_STR_TIMEOUT_SECONDS = 60L;

if (StrUtil.isEmpty(timestamp) || DateUtil.between(DateUtil.date(Long.parseLong(timestamp) * 1000), DateUtil.date(), DateUnit.SECOND) > NONCE_STR_TIMEOUT_SECONDS) {

throw new BusinessException("invalid timestamp");

}

// 判断该用户的nonceStr参数是否已经在redis中(防止短时间内的重放攻击)

Boolean haveNonceStr = redisTemplate.hasKey(nonceStr);

if (StrUtil.isEmpty(nonceStr) || Objects.isNull(haveNonceStr) || haveNonceStr) {

throw new BusinessException("invalid nonceStr");

}

// 对请求头参数进行签名

if (StrUtil.isEmpty(signature) || !Objects.equals(signature, this.signature(timestamp, nonceStr, request))) {

throw new BusinessException("invalid signature");

}

// 将本次用户请求的nonceStr参数存到redis中设置xx秒后自动删除

redisTemplate.opsForValue().set(nonceStr, nonceStr, NONCE_STR_TIMEOUT_SECONDS, TimeUnit.SECONDS);

return true;

}

private String signature(String timestamp, String nonceStr, HttpServletRequest request) throws UnsupportedEncodingException {

Map<String, Object> params = new HashMap<>(16);

Enumeration<String> enumeration = request.getParameterNames();

if (enumeration.hasMoreElements()) {

String name = enumeration.nextElement();

String value = request.getParameter(name);

params.put(name, URLEncoder.encode(value, CommonConstants.UTF_8));

}

String qs = String.format("%s×tamp=%s&nonceStr=%s&key=%s", this.sortQueryParamString(params), timestamp, nonceStr, key);

log.info("qs:{}", qs);

String sign = SecureUtil.md5(qs).toLowerCase();

log.info("sign:{}", sign);

return sign;

}

/**

* 按照字母顺序进行升序排序

*

* @param params 请求参数 。注意请求参数中不能包含key

* @return 排序后结果

*/

private String sortQueryParamString(Map<String, Object> params) {

List<String> listKeys = Lists.newArrayList(params.keySet());

Collections.sort(listKeys);

StrBuilder content = StrBuilder.create();

for (String param : listKeys) {

content.append(param).append("=").append(params.get(param).toString()).append("&");

}

if (content.length() > 0) {

return content.subString(0, content.length() - 1);

}

return content.toString();

}

}

总结:做互联网应用,无论是生鲜小程序还是APP,安全永远都是第一位,安全做好了,其他的才能做得更好,当然,信息安全是一个永久的话题,并非通过本文就能够说得清楚的

希望本文可以给大家一点思考与建议。

相关推荐
V+zmm101343 分钟前
基于微信小程序的乡村政务服务系统springboot+论文源码调试讲解
java·微信小程序·小程序·毕业设计·ssm
C++忠实粉丝10 分钟前
Redis 介绍和安装
数据库·redis·缓存
wmd1316430671225 分钟前
将微信配置信息存到数据库并进行调用
数据库·微信
Oneforlove_twoforjob28 分钟前
【Java基础面试题025】什么是Java的Integer缓存池?
java·开发语言·缓存
xmh-sxh-131430 分钟前
常用的缓存技术都有哪些
java
是阿建吖!38 分钟前
【Linux】基础IO(磁盘文件)
linux·服务器·数据库
凡人的AI工具箱1 小时前
每天40分玩转Django:Django国际化
数据库·人工智能·后端·python·django·sqlite
AiFlutter1 小时前
Flutter-底部分享弹窗(showModalBottomSheet)
java·前端·flutter
ClouGence1 小时前
Redis 到 Redis 数据迁移同步
数据库·redis·缓存
m0_748236581 小时前
《Web 应用项目开发:从构思到上线的全过程》
服务器·前端·数据库