API 接口暴露问题 防止接口参数篡改 核心思路代码设计
API 接口防篡改、防重放攻击常见方案。API 接口暴露问题
接口采用 https的传输方式,https 传输的数据是经过了加密的,可以保证不被篡改;项目后台采用安全的验证机制,比如采用参数加密 和请求时间限制 来防止参数篡改和二次投放(*我们以这种方式为案例进行讲解 *)。
防止接口参数篡改
前端使用约定好的秘钥 对传输参数进行加密,得到签名值 sign1,并且将签名值存入headers,然后发送请求给服务端; 服务端接收客户端的请求后,在过滤器 中使用约定好的秘钥对请求的参数再次进行签名,得到签名值 sign2; 最后对比 sign1 和 sign2 的值,如果相同,则认定为合法请求,如果不同,则说明参数被篡改,认定为非法请求。
防止接口重投放
每次 http 请求,headers 都加上 timestamp 时间戳,并且 timestamp 和请求的参数一起进行数字签名; 服务器收到请求之后,先判断时间戳参数与当前时间是否超过了60s(这个可以自定义配置,一般黑客从抓包到重放的耗时远远超过了60s),如果超过了则提示签名过期; 如果黑客修改了 timestamp 参数,则 sign 参数对应的数字签名就会失效,因为黑客不知道签名秘钥,没有办法生成新的数字签名(前端一定要保护好秘钥和加密算法 )。
核心思路代码设计
@Component
@Slf4j
public class SignAuthFilter implements Filter {
@Autowired
private SignAuthProperties signAuthProperties;
@Override
public void init(FilterConfig filterConfig) throws ServletException {
log.info("初始化 SignAuthFilter...");
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
// 过滤不需要签名验证的地址
String requestUri = httpRequest.getRequestURI();
for (String ignoreUri : signAuthProperties.getIgnoreUri()) {
if (requestUri.contains(ignoreUri)) {
log.info("当前URI地址:" + requestUri + ",不需要签名校验!");
chain.doFilter(request, response);
return;
}
}
// 获取签名和时间戳
String sign = httpRequest.getHeader("Sign");
String timestampStr = httpRequest.getHeader("Timestamp");
if (StringUtils.isEmpty(sign)) {
responseFail("签名不能为空", response);
return;
}
if (StringUtils.isEmpty(timestampStr)) {
responseFail("时间戳不能为空", response);
return;
}
// 重放时间限制
long timestamp = Long.parseLong(timestampStr);
if (System.currentTimeMillis() - timestamp >= signAuthProperties.getTimeout()*1000) {
responseFail("签名已过期", response);
return;
}
// 校验签名
Map<String, String[]> parameterMap = httpRequest.getParameterMap();
if (SignUtils.verifySign(parameterMap, sign, timestamp)) {
chain.doFilter(httpRequest, response);
} else {
responseFail("签名校验失败", response);
}
}
/**
* 响应错误信息
*/
private void responseFail(String msg, ServletResponse response) throws IOException {
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
PrintWriter out = response.getWriter();
out.println(msg);
out.flush();
out.close();
}
@Override
public void destroy() {
log.info("销毁 SignAuthFilter...");
}
}
yml 配置文件中进行配置重放超时时间和不过滤的 URI 地址:sign:
# 签名超时时间
timeout: 60
# 允许未签名访问的 url 地址
ignoreUri:
- /swagger-ui.html
- /v2/api-docs
@Data
@ConfigurationProperties(prefix = "sign")
public class SignAuthProperties {
/**
* 签名超时时间
*/
private Integer timeout;
/**
* 允许未签名访问的 url 地址
*/
private List<String> ignoreUri;
}
往期历史
