接口安全验证及防刷处理方案

这篇具有很好参考价值的文章主要介绍了接口安全验证及防刷处理方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

暴露在外网的api接口需要做到防篡改防重放才能保证接口安全。

比如:短信验证接口,支付接口,请求时长超过1S以上的

防篡改

我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。

举个例子, 现在有个充值的接口,调用后可以给用户增加对应的余额。

http://localhost/api/user/insert?user_id=1001&amount=10

如果非法用户通过抓包获取到接口参数后,修改user_id 或 amount的值就可以实现给任意账户添加余额的目的。

如何解决

采用https协议可以将传输的明文进行加密,但是黑客仍然可以截获传输的数据包,进一步伪造请求进行重放攻击。如果黑客使用特殊手段让请求方设备使用了伪造的证书进行通信,那么https加密的内容也会被解密。

一般的做法有2种:

  1. 采用https方式把接口的数据进行加密传输,即便是被黑客破解,黑客也花费大量的时间和精力去破解。

  2. 接口后台对接口的请求参数进行验证,防止被黑客篡改;

接口安全验证及防刷处理方案,安全

  • 步骤1:客户端使用约定好的秘钥对传输的参数进行加密,得到签名值sign1,并且将签名值也放入请求的参数中,发送请求给服务端

  • 步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。

  • 步骤3:服务端比对sign1和sign2的值,如果不一致,就认定为被篡改,非法请求。

防重放

防重放也叫防复用。简单来说就是我获取到这个请求的信息之后什么也不改,,直接拿着接口的参数 重复请求这个充值的接口。此时我的请求是合法的, 因为所有参数都是跟合法请求一模一样的。

重放攻击会造成两种后果:

  1. 针对插入数据库接口:重放攻击,会出现大量重复数据,甚至垃圾数据会把数据库撑爆。

  2. 针对查询的接口:黑客一般是重点攻击慢查询接口,例如一个慢查询接口1s,只要黑客发起重放攻击,就必然造成系统被拖垮,数据库查询被阻塞死。

对于重放攻击一般有两种做法:

基于timestamp(时间戳)的方案

每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。

一般情况下,黑客从抓包重放请求耗时远远超过了60s,所以此时请求中的timestamp参数已经失效了。如果黑客修改timestamp参数为当前的时间戳,则sign1参数对应的数字签名就会失效,因为黑客不知道签名秘钥,没有办法生成新的数字签名。

接口安全验证及防刷处理方案,安全

但是这种方式的漏洞也是显而易见,如果在60s之内进行重放攻击,那就没办法了,所以这种方式不能保证请求仅一次有效。

老鸟们一般会采取下面这种方案,既可以解决接口重放问题,又可以解决接口一次请求有效的问题。

基于nonce + timestamp 的方案

nonce的意思是仅一次有效的随机字符串,要求每次请求时该参数要保证不同。

实际使用用户信息+时间戳+随机数等信息做个哈希之后,作为nonce参数。

接口安全验证及防刷处理方案,安全

此时服务端的处理流程如下:

  1. 去 redis 中查找是否有 key 为 nonce:{nonce}的 string

  2. 如果没有,则创建这个 key,把这个 key 失效的时间和验证 timestamp 失效的时间一致,比如是 60s。

  3. 如果有,说明这个 key 在 60s 内已经被使用了,那么这个请求就可以判断为重放请求。

接口安全验证及防刷处理方案,安全

这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。文章来源地址https://www.toymoban.com/news/detail-792972.html

到了这里,关于接口安全验证及防刷处理方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SpringBoot定义拦截器+自定义注解+Redis实现接口防刷(限流)

    在拦截器Interceptor中拦截请求 通过地址+请求uri作为调用者访问接口的区分在Redis中进行计数达到限流目的 定义参数 访问周期 最大访问次数 禁用时长 代码实现 定义拦截器:实现HandlerInterceptor接口,重写preHandle()方法 注册拦截器:配置类实现WebMvcConfigurer接口,重写addIntercep

    2024年02月05日
    浏览(59)
  • 接口自动化测试难点:数据库验证解决方案!

    接口自动化中的数据库验证:确保数据的一致性和准确性  接口自动化测试是现代软件开发中不可或缺的一环,而 数据库验证 则是确保接口返回数据与数据库中的数据一致性的重要步骤。本文将介绍 接口自动化中的数据库验证的原理、步骤以及示例代码 ,帮助读者深入了解

    2024年02月07日
    浏览(49)
  • 接口自动化测试难点:数据库验证解决方案

    接口自动化中的数据库验证:确保数据的一致性和准确性 接口自动化测试是现代软件开发中不可或缺的一环,而数据库验证则是确保接口返回数据与数据库中的数据一致性的重要步骤。本文将介绍接口自动化中的数据库验证的原理、步骤以及示例代码,帮助读者深入了解和应

    2024年01月16日
    浏览(47)
  • 安全兜底:涉及钱时短信必须考虑防刷、限量和防重

    开放平台资源的使用需要考虑防刷 短信验证码服务属于开放性服务,由用户侧触发,且因为是注册验证码所以不需要登录就可以使用,很容易被短信轰炸平台利用 对于短信验证码这种开放接口,程序逻辑内需要有防刷逻辑。 1. 控制相同手机号的发送次数和发送频次:  限制同

    2024年01月18日
    浏览(47)
  • Jmeter接口测试 —— jmeter对图片验证码的处理

    在web端的登录接口经常会有图片验证码的输入,而且每次登录时图片验证码都是随机的;当通过jmeter做接口登录的时候要对图片验证码进行识别出图片中的字段,然后再登录接口中使用; 1、通过ocrserver工具识别图片验证码; 如下图:解压后双击OcrServer.exe;然后电脑的右下角

    2024年02月05日
    浏览(47)
  • 强大的企业四要素验证接口,保障企业安全

        企业安全一直是各个企业关注的焦点,尤其是在合作伙伴选择和交易过程中,我们更需要确保对方企业的真实性和合法性。为了解决这个问题,挖数据平台提供了一项强大的企业四要素验证接口,以确保企业信息的真实性和完整性。 这个接口非常简单易懂,只需要输入企

    2024年04月27日
    浏览(36)
  • API接口的安全设计验证:ticket,签名,时间戳

    概述 与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个

    2024年04月27日
    浏览(40)
  • API接口的安全设计验证:ticket,签名,时间戳(1)

    result.put(“success”,false); result.put(“ticket”,“”); result.put(“code”,“999”); result.put(“message”,“用户名和密码不匹配”); return result; } if (personEntity.getLoginName().equals(username) personEntity.getPassword().equals(password)){ String ticket = UUID.randomUUID().toString(); ticket = ticket.replace(“-”,“”);

    2024年04月27日
    浏览(38)
  • 爬虫百度返回“百度安全验证”终极解决方案

    最近一哥们跟我说百度爬虫爬不了 弹出:“百度安全验证”,“网络不给力,请稍后重试” 说到爬虫,这里指的是Python中最常用的requests库 我说怎么爬不了了? user-agent 加了吗? cookie 加了吗? 他说都加了 我不信邪,试了一下,超,真的返回百度安全认证: 网络有说加 A

    2024年02月12日
    浏览(78)
  • 接口安全防护方案

    使用令牌(Token)、OAuth等认证方式,确保只有合法用户可以访问接口。授权机制可以防止未经授权的用户访问敏感接口。 示例:使用JWT(JSON Web Token)认证方式。 对于接口的输入参数进行合法性校验,防止参数篡改和恶意输入。验证输入数据的类型、范围和格式。 示例:校

    2024年02月13日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包