|
|
51CTO旗下网站
|
|
移动端

再谈前后端API签名安全?

上次《前后端API交互如何保证数据安全性?》文章中,我们介绍了如何在Spring Boot框架中去统一处理数据的加解密。对于请求的加密也只做了POST请求的自动加密,今天接着上文来继续介绍GET请求的安全性如何保证?

作者:尹吉欢来源:猿天地|2018-10-23 14:24

上次《前后端API交互如何保证数据安全性?》文章中,我们介绍了如何在Spring Boot框架中去统一处理数据的加解密。对于请求的加密也只做了POST请求的自动加密,今天接着上文来继续介绍GET请求的安全性如何保证?

再谈前后端API签名安全?

首先我们来看一个简单的GET请求:

  • http://cxytiandi.com/user?name=yinjihuan

首先很明显的是我们可以看到name参数是明文的,如果对安全性要求很高,建议查询也用POST请求,前面我们对所有POST请求的参数都做了加密操作。

无论是GET还是POST都可以做签名

明文没关系,关键是这个请求我复制到浏览器中打开,把name改成别的值,如果真的存在的话也是能返回结果的。问题就在这,参数被修改了,后端无法识别,这是第一个问题。

第二个问题是这个请求可以无限的使用,就是你明天去请求这个地址它还能返回结果,这个其实也需要控制下,当然控制的方式有很多种,今天我们会介绍一种比较简单的方式来控制。

第一种方式

参数中加签名,前后端约定一个key,将参数按照字母排序拼接成一个字符串,然后拼接上key,最后用MD5或者SHA进行加密,最后得到一个加密的签名,作为参数传到后端进行验证。

比如:

  1. name=yinjihuan&sign=MD5(name=yinjihuan+key

后端我们可以统一在过滤器中进行验证,取得参数sign的值,取得请求的所有参数,同时也按照前端生成sign的方式生成一个新的sign,对两个sign进行比较,如果相等,就证明参数没有被篡改。

为了防止一个请求被多次使用,我们通常会再sign中加上请求那刻的时间戳,服务器这边会判断时间差,如果在10分钟内可以让它继续执行,当然这个10分钟你可以自己去调整,长一点主要是为了方式客户端和服务器时间不一样的问题,当然这种情况不能完全避免。

第二种方式

第二种方式比较简单,因为我们前面讲过了请求的数据加解密,既然我们有了加密的key和加密算法,其实完全可以将签名的内容用我们的加密算法进行加密,上面用的md5方式不是很安全,md5是可以被破解的。

同时因为我这边用的axios来请求数据,可以使用请求拦截器,在请求之前统一对请求进行签名操作,不用在每个地方单独去处理。

在使用get请求时,我们用下面的方式:

  1. axios.get('/user', { 
  2.     params: { 
  3.       ID: 12345 
  4.     } 
  5. }) 
  6. .then(function (response) { 
  7.     console.log(response); 
  8.   }) 
  9.  .catch(function (error) { 
  10.     console.log(error); 
  11. }); 

然后在请求拦截器中我们可以通过params就可以获取当前请求的所有参数信息,这边我们不采用拼接的方式,直接往params中添加一个signTime(签名时间),然后用对整个params进行加密得到一个sign,通过请求头传递到后台。

此时到后台的数据就是参数信息+签名时间,比如:{name:"yjh",signTime:19210212121212}, 签名就是{name:"yjh",signTime:19210212121212}加密的内容。

  1. // 添加请求拦截器 
  2. axios.interceptors.request.use(function (config) { 
  3.      // 在发送请求之前做些什么 
  4.     if (config.method == "get"){ 
  5.        var newParams = config.params; 
  6.        console.log(newParams); 
  7.        if (newParams == undefined) { 
  8.            newParams = new Object(); 
  9.        } 
  10.        newParams.signTime = new Date().getTime(); 
  11.        config.headers.sign = EncryptData(JSON.stringify(newParams)); 
  12.        console.log(JSON.stringify(config)); 
  13.     } 
  14.     if (config.method == "post"){ 
  15.        var newParams = new Object(); 
  16.        newParams.signTime = new Date().getTime(); 
  17.        config.headers.sign = EncryptData(JSON.stringify(newParams)); 
  18.     } 
  19.     return config; 
  20.   }, function (error) { 
  21.     // 对请求错误做些什么 
  22.     return Promise.reject(error); 
  23.  }); 

后端可以在过滤器中进行签名校验,代码如下:

  1. /** 
  2.  * 请求签名验证过滤器<br> 
  3.  *  
  4.  * 请求头中获取sign进行校验,判断合法性和是否过期<br> 
  5.  *  
  6.  * sign=加密({参数:值, 参数2:值2, signTime:签名时间戳}) 
  7.  * @author yinjihuan 
  8.  *  
  9.  * @about http://cxytiandi.com/about 
  10.  * 
  11.  */ 
  12. public class SignAuthFilter implements Filter { 
  13.  
  14.     private EncryptProperties encryptProperties; 
  15.  
  16.     @Override 
  17.     public void init(FilterConfig filterConfig) throws ServletException { 
  18.         ServletContext context = filterConfig.getServletContext();   
  19.         ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context); 
  20.         encryptProperties = ctx.getBean(EncryptProperties.class); 
  21.     } 
  22.  
  23.     @SuppressWarnings("unchecked"
  24.     @Override 
  25.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
  26.             throws IOException, ServletException { 
  27.         HttpServletRequest req = (HttpServletRequest) request; 
  28.         HttpServletResponse resp = (HttpServletResponse) response; 
  29.         if (req.getMethod().equals("OPTIONS")) { 
  30.             chain.doFilter(request, response); 
  31.             return
  32.         } 
  33.         resp.setCharacterEncoding("UTF-8"); 
  34.         String sign = req.getHeader("sign"); 
  35.         if (!StringUtils.hasText(sign)) { 
  36.             PrintWriter print = resp.getWriter(); 
  37.             print.write("非法请求:缺少签名信息"); 
  38.             return
  39.         } 
  40.         try { 
  41.             String decryptBody = AesEncryptUtils.aesDecrypt(sign, encryptProperties.getKey()); 
  42.             Map<String, Object> signInfo = JsonUtils.getMapper().readValue(decryptBody, Map.class); 
  43.             Long signTime = (Long) signInfo.get("signTime"); 
  44.  
  45.             // 签名时间和服务器时间相差10分钟以上则认为是过期请求,此时间可以配置 
  46.             if ((System.currentTimeMillis() - signTime) > encryptProperties.getSignExpireTime() * 60000) { 
  47.                 PrintWriter print = resp.getWriter(); 
  48.                 print.write("非法请求:已过期"); 
  49.                 return
  50.             } 
  51.  
  52.             // POST请求只处理时间 
  53.             // GET请求处理参数和时间 
  54.             if(req.getMethod().equals(HttpMethod.GET.name())) { 
  55.                 Set<String> paramsSet = signInfo.keySet(); 
  56.                 for (String key : paramsSet) { 
  57.                     if (!"signTime".equals(key)) { 
  58.                         String signValue = signInfo.get(key).toString(); 
  59.                         String reqValue = req.getParameter(key).toString(); 
  60.                         if (!signValue.equals(reqValue)) { 
  61.                             PrintWriter print = resp.getWriter(); 
  62.                             print.write("非法请求:参数被篡改"); 
  63.                             return
  64.                         } 
  65.                     } 
  66.                 } 
  67.             } 
  68.         } catch (Exception e) { 
  69.             PrintWriter print = resp.getWriter(); 
  70.             print.write("非法请求:" + e.getMessage()); 
  71.             return
  72.         } 
  73.         chain.doFilter(request, response); 
  74.     } 
  75.  
  76.     @Override 
  77.     public void destroy() { 
  78.  
  79.     } 
  80.  

首先我们会对签名信息进行判断,没有则拦截掉,然后进行解密操作,得到签名时间,判断有效期,最后再根据解密得到的参数信息,循环去和当前请求中的参数进行比较,只要有一个对不上,那就是参数被篡改了,这边我做的比较简单,对值的判断都转成字符串来比较,不确定在一些特殊数据类型是否有问题,大家可以自己去改。

验证的代码我也封装到了我的那个spring-boot-starter-encrypt中(欢迎Star):https://github.com/yinjihuan/spring-boot-starter-encrypt

只需要配置过滤器即可:

  1. /** 
  2.  * 注册签名验证过滤器 
  3.  * @return 
  4.  */ 
  5. @Bean   
  6. public FilterRegistrationBean signAuthFilter() {   
  7.     FilterRegistrationBean registrationBean = new FilterRegistrationBean();   
  8.     registrationBean.setFilter(new SignAuthFilter());   
  9.     registrationBean.setUrlPatterns(Arrays.asList("/rest/*"));   
  10.     return registrationBean;   

以上代码大家不一定能用到,我个人认为没必要复制我的代码去实验,理解思路才是你最佳的选择。简单分享,勿喷哈。。。。。。。。。。。

【编辑推荐】

  1. 甲骨文和英特尔开发支持 SIMD 的 Java API 以提升性能
  2. API难解释?这次用啤酒和积木来破局
  3. API Star:一个Python 3的API框架
  4. 为什么说无服务器是2018年构建API的唯一之道?
  5. 开发者都应该知道的15个API
【责任编辑:未丽燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

程序员密码学

《程序员密码学》涉及密码学的各个研究方向,分组密码、散列函数、公钥密码以及相关的攻击,同时也讲解了密码学算法实现上常用的ASN.编码、...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊