API接口签名验证

本文涉及的产品
云数据库 Redis 版,社区版 2GB
推荐场景:
搭建游戏排行榜
简介: 过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。

一、使用背景

过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。


但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。


即存在以下安全问题:

  • 请求身份是否合法
  • 请求参数是否被篡改


为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。


二、实现方案

既然要实现接口只能被客户端请求,那么我们不难想到可以与客户端达成某些约定,让客户端按一定的规则发送请求。


只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。


这样的方案可以使得用户即使拿到了token没有私钥的话加密后的数据与服务端加密后的肯定不相同而无法通过验证。篡改参数同样会产生相同的问题,从而保证了接口的安全性。


三、具体流程

  • 按照请求参数名的字母升序排列非空请求参数(包含accesskey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串A;
  • 在字符串A最后拼接上secretkey得到字符串B;
  • 对B进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值;
  • 携带参数accesskey和sign进行请求

四、优化

以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。


为了解决这个问题我们不难想到请求时生成一个唯一的标识符,那么服务端在接收到请求之后只需要验证是否已经接受过改请求的标识即可。


不过以上方式还存在一个问题就是服务端要保存那么多的请求标识并不现实,所以我们可以设置一个过期时间,过期了就将标识删除。并让请求的时候携带一个时间戳,超过时间的请求直接打回。


五、代码实现

假设请求接口:test?param1=hello&param2=world

那么前端需要发送请求:test?accesskey=xxx&param1=hello&param2=world&nonce=随机唯一标识&timestamp=当前时间戳&sign=xxx


sign = MD5(“accesskey=xxx&nonce=随机唯一标识¶m1=hello¶m2=world&secretkey=xxx×tamp=当前时间戳”).toUpperCase()


注意请求接口中的参数可以不按顺序,而用于生成sign的字符串中的各个参数必须按照一定的顺序(与后端约定)


后端验签:

@Component
public class ApiVerifyUtil {
    public static final String SECRET_KEY = "secretkey";
    public static final String ACCESS_KEY = "accesskey";
    public static final String TIMESTAMP_KEY = "timestamp";
    public static final String NONCE_KEY = "nonce";
    public static final String SIGN_KEY = "sign";
    private static final HashMap<String, String> KEY_PAIR;
    static {
        KEY_PAIR = new HashMap<>();
        KEY_PAIR.put("app1", "password1");  // 为客户端分配的密钥
        KEY_PAIR.put("app2", "password2");
    }
    @Autowired
    private RedisTemplate<String, String> redisTemplateBean;
    private static RedisTemplate<String, String> redisTemplate;
    @PostConstruct
    public void init() {
        redisTemplate = redisTemplateBean;
    }
    public static final Integer OK = 0;
    public static final Integer PARAMS_ERROR = 1;
    public static final Integer LACK_ACCESSKEY = 2;
    public static final Integer ACCESSKEY_INVALID = 3;
    public static final Integer LACK_NONCE = 4;
    public static final Integer LACK_TIMESTAMP = 5;
    public static final Integer LACK_SIGN = 6;
    public static final Integer REQUEST_TIMEOUT = 7;
    public static final Integer REQUEST_REPEATED = 8;
    public static final Integer REQUEST_INVALID = 9;
    // 超时时间(ms)
    public static final long TIMEOUT = 1000 * 60 * 15;
    public static final String AND = "&";
    public static final String EQUALS = "=";
    public static Integer verify(HashMap<String, String> params) {
        if (params == null || params.isEmpty()) {
            return PARAMS_ERROR;
        }
        // accessKey为空或不合法(即不存在对应的密钥)或请求参数不全则直接打回
        String accessKey, secretKey, timestamp, nonce, sign;
        if ((accessKey = params.get(ACCESS_KEY)) == null) {
            return LACK_ACCESSKEY;
        }
        if ((secretKey = KEY_PAIR.get(accessKey)) == null) {
            return ACCESSKEY_INVALID;
        }
        if ((timestamp = params.get(TIMESTAMP_KEY)) == null) {
            return LACK_TIMESTAMP;
        } else if (Long.parseLong(timestamp) - System.currentTimeMillis() > TIMEOUT) {
            // 超过15分钟
            return REQUEST_TIMEOUT;
        }
        if ((nonce = params.get(NONCE_KEY)) == null) {
            return LACK_NONCE;
        } else {
            Set<String> nonceSet = redisTemplate.opsForSet().members("nonce");
            if (nonceSet != null && nonceSet.contains(nonce)) {
                return REQUEST_REPEATED;
            }
        }
        if ((sign = params.get(SIGN_KEY)) == null) {
            return LACK_SIGN;
        }
        params.remove(SIGN_KEY);
        // 加密需要拼接上密钥
        params.put(SECRET_KEY, secretKey);
        ArrayList<String> keyList = new ArrayList<>(params.keySet());
        // 按顺序构造
        Collections.sort(keyList);
        StringBuilder sb = new StringBuilder();
        for (String key : keyList) {
            sb.append(key).append("=").append(params.get(key)).append("&");
        }
        String newSign = sb.toString();
        newSign = MD5.create().digestHex16(newSign.substring(0, newSign.length() - 1).toUpperCase());
        if (newSign.equals(sign)) {
            redisTemplate.opsForSet().add("nonce", nonce);
            return OK;
        }
        return REQUEST_INVALID;
    }
    public static HashMap<String, String> getParams(HttpServletRequest httpServletRequest) {
        String queryString = httpServletRequest.getQueryString();
        String[] split = queryString.split(AND);
        HashMap<String, String> params = new HashMap<>();
        for (String param : split) {
            params.put(param.split(EQUALS)[0], param.split(EQUALS)[1]);
        }
        return params;
    }
    public static HashMap<String, String> getParams(String queryString) {
        String[] split = queryString.split(AND);
        HashMap<String, String> params = new HashMap<>();
        for (String param : split) {
            params.put(param.split(EQUALS)[0], param.split(EQUALS)[1]);
        }
        return params;
    }
}

六、后续优化

  1. 加入接口被调用的阈值限制,对接口访问频率设置一定阈值,对超过阈值的请求进行屏蔽及预警。
  2. 白名单机制:指定一些可以访问我们暴露接口的域名,不在白名单里面的域名发过来的请求,直接拒绝。
相关文章
|
1天前
|
缓存 中间件 API
|
1天前
|
数据采集 监控 安全
各种业务场景调用API代理的API接口教程
API代理的API接口在各种业务场景中具有广泛的应用,本文将介绍哪些业务场景可以使用API代理的API接口,并提供详细的调用教程和代码演示,同时,我们还将讨论在不同场景下使用API代理的API接口所带来的好处。
|
2天前
|
API 开发者 Python
亚马逊API接口推荐:亚马逊商品详情数据接口和商品列表数据接口
亚马逊API接口推荐:亚马逊商品详情数据接口和商品列表数据接口
10 0
|
2天前
|
API PHP 开发者
大麦网 API 接口商品详情信息 API
为了让更多用户了解到大麦网的商品详情,并能够方便地获取相关信息,大麦网推出了商品详情 API 接口。本文将介绍大麦网商品详情 API 接口的作用、使用方法和注意事项,帮助广大开发者更加方便地接入大麦网的产品。
|
3天前
|
API 开发工具 数据安全/隐私保护
API接口的对接流程和注意事项
随着互联网技术的发展和应用的普及,API接口已经成为不同系统、不同应用之间进行交互和数据交换的重要方式。API接口使得不同的系统能够互相调用对方的功能,提高了系统的灵活性和扩展性。但是,在进行API接口对接的过程中,需要注意一些流程和事项,以确保对接的顺利进行和系统的稳定运行。
|
4天前
|
监控 供应链 API
为多渠道销售集成商品API接口的正式步骤指南
摘要: 在当今的零售环境中,企业通过多渠道销售策略来扩大市场覆盖范围并提高客户接触率。商品API接口的集成是实现这一目标的关键技术手段之一。本文旨在提供一套系统的步骤指南,帮助企业高效地为其多渠道销售体系集成商品API接口。
|
4天前
|
数据挖掘 API 数据处理
获取商品详情信息API接口:1688开放平台功能解析
首先,要获取商品详情信息,开发者需要向1688开放平台申请相应的权限,并遵循其调用规则。在调用商品详情信息API接口时,需要传入相应的请求参数,如商品ID、调用时间戳、密钥等。这些参数对于确保接口的正常运行至关重要。
|
4天前
|
XML 自然语言处理 前端开发
NLP自学习平台提供了API接口调用服务,这些接口可以通过HTTP GET请求进行调用
【2月更文挑战第7天】NLP自学习平台提供了API接口调用服务,这些接口可以通过HTTP GET请求进行调用
10 2
|
5天前
|
缓存 监控 测试技术
ERP系统对接方案与API接口封装系列(高并发)
企业资源规划(ERP)系统是现代企业管理的核心,它集成了企业内部的各个部门和业务流程。为了实现ERP系统与其他外部系统或应用程序之间的数据交换和协作,需要对接方案。API(应用程序编程接口)是实现系统对接的常用方法之一。
|
6天前
|
文字识别 安全 API
阿里云文字识别OCR的发票凭证识别功能可以通过API接口的形式进行调用
【2月更文挑战第5天】阿里云文字识别OCR的发票凭证识别功能可以通过API接口的形式进行调用
21 5