REST API 的指纹验证机制

简介: REST API 的指纹验证机制

image.png

前端或者客户端涉及数据相关的请求都是不安全的,从某种意义上只能通过一些手段降低请求不被容易使用。本来来介绍一种基于 JWT 的指纹机制。

关于 JWT 令牌机制就不详细介绍了。在 JWT 令牌中包含系统 JWT 指纹可以带来安全改进,而不会给用户带来任何不便。

什么是浏览器指纹识别?

浏览器指纹识别背后的思路是收集有关浏览器及其环境的信息以进行识别。这些属性包括浏览器类型和版本、操作系统、语言、时区、活动插件、安装的字体、屏幕分辨率、CPU 级别、设备内存和各种其他设置。这些属性被连接成一个长字符串,指纹被定义为该字符串的哈希值。

可能会问这些浏览器指纹有多独特,重复性会很大。事实证明,它们在大多数情况下是独一无二的。如果浏览器指纹碰巧不是唯一的,则可以通过将其与设备的 IP 地址相结合来使其唯一。

指纹实现思路

在 REST API 请求系统中可以通过很多参数来识别,而可以作为指纹的可以是一下信息,而这些信息大部分是在请求头里面:

  • IP地址:IP地址以及国家/地区、ISP、组织或 ASN 编号等,详细可以参阅 ipwhois.app/json/8.8.8.…
  • User agent:前端请求设备信息
  • Language:用户使用的语言
  • sec-ch-ua

根据需要 JWT 指纹的敏感度,来取决组合创建指纹的参数数量。这里提供一种参考的组合:


sec-ch-ua user-agent accept-language upgrade-insecure-requests Ip ASN ORG

这是常见浏览器的指纹示例:


192.168.1.250 : “Google Chrome”;v=”89", "Google Chrome";v="119", "Chromium";v="119", "Not?A_Brand";v="24" :
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 :
zh-CN,zh;q=0.9,en;q=0.8,ja;q=0.7 : 1

对应的参数:


ip : sec-ch-ua : user-agent : accept-language : upgrade-insecure-req

所以现在有了一个指纹,它是在请求 JWT 令牌的同时生成的。可以根据特定用例添加或删除其中的元素。通常,可能将 IP 地址替换为国家/地区、ISP、组织、ASN 号码,或者将其删除并仅使用已知的标头信息。

将这些信息通过一个序列方式拼接为字符串,然后进行 MD5 转换,通常如下:


5dc9db757608b61e3a04bd1e08dd25c3

将生成的指纹添加到 JSON Payload 中。

总结

这里只是提供了一种简单的思路,但这不能完全避免非法的无效请求,只是增加了获取模拟请求的难度。为了提高指纹的唯一性,需要增加一些独特的属性数据。


相关文章
|
5天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
18 2
|
19天前
|
缓存 API 网络架构
掌握现代API开发:GraphQL vs REST
【10月更文挑战第24天】本文深入探讨了现代API开发中两种主流技术——GraphQL和REST的设计理念、技术特点及实际开发中的对比分析。GraphQL通过声明式数据请求和强类型系统提供更高的灵活性和性能,而REST则以其无状态特性和成熟的生态系统见长。文章还讨论了两者在客户端-服务器交互、安全性和工具支持方面的优劣,帮助开发者根据项目需求做出明智选择。
|
2月前
|
JSON 中间件 API
开发REST API3-11
开发REST API3-11
|
2月前
|
JSON JavaScript API
编写REST API
编写REST API
60 2
|
2月前
|
JavaScript 前端开发 API
JavaScript 验证 API
JavaScript 验证 API
28 2
|
1月前
|
Java API Maven
使用 Smart-doc 记录 Spring REST API
使用 Smart-doc 记录 Spring REST API
46 0
|
3月前
|
XML 安全 API
REST 和 SOAP API 有什么区别?
【8月更文挑战第31天】
184 0
|
3月前
|
JSON API 数据安全/隐私保护
哇塞!Django REST framework 太逆天啦!构建 API 服务从未如此轻松,你还不来试试?
【8月更文挑战第31天】Django REST framework(DRF)是基于Django框架的高效Web API开发工具,提供序列化、视图集、路由等功能,简化API构建流程。使用DRF可轻松实现数据的序列化与反序列化,并支持权限管理和认证机制以保障API安全。安装DRF只需通过`pip install djangorestframework`命令。要创建基本项目,先安装Django并创建新应用,定义模型、序列化器及视图集,最后配置路由。测试API时,可通过Postman发送HTTP请求验证功能。无论项目大小,DRF均能提供强大支持。
41 0
|
6天前
|
JSON API 数据格式
淘宝 / 天猫官方商品 / 订单订单 API 接口丨商品上传接口对接步骤
要对接淘宝/天猫官方商品或订单API,需先注册淘宝开放平台账号,创建应用获取App Key和App Secret。之后,详细阅读API文档,了解接口功能及权限要求,编写认证、构建请求、发送请求和处理响应的代码。最后,在沙箱环境中测试与调试,确保API调用的正确性和稳定性。
|
18天前
|
供应链 数据挖掘 API
电商API接口介绍——sku接口概述
商品SKU(Stock Keeping Unit)接口是电商API接口中的一种,专门用于获取商品的SKU信息。SKU是库存量单位,用于区分同一商品的不同规格、颜色、尺寸等属性。通过商品SKU接口,开发者可以获取商品的SKU列表、SKU属性、库存数量等详细信息。