自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

我們一起聊聊如何保證API接口安全?

作者:志哥聊技術(shù)
安全 應(yīng)用安全
當(dāng)你的公司體量上來了時(shí)候,這個(gè)時(shí)候可能有一些公司開始找你進(jìn)行技術(shù)對接了,轉(zhuǎn)變成由你來提供api接口,那這個(gè)時(shí)候,我們應(yīng)該如何設(shè)計(jì)并保證API接口安全呢?

一、背景介紹

在實(shí)際的業(yè)務(wù)開發(fā)過程中,我們常常會碰到需要與第三方互聯(lián)網(wǎng)公司進(jìn)行技術(shù)對接,例如支付寶支付對接、微信支付對接、高德地圖查詢對接等等服務(wù),如果你是一個(gè)創(chuàng)業(yè)型互聯(lián)網(wǎng),大部分可能都是對接別的公司api接口。

當(dāng)你的公司體量上來了時(shí)候,這個(gè)時(shí)候可能有一些公司開始找你進(jìn)行技術(shù)對接了,轉(zhuǎn)變成由你來提供api接口,那這個(gè)時(shí)候,我們應(yīng)該如何設(shè)計(jì)并保證API接口安全呢?

二、方案介紹

最常用的方案,主要有兩種:

  • token方案
  • 接口簽名

2.1、token方案

其中 token 方案,是一種在web端使用最廣的接口鑒權(quán)方案,我記得在之前寫過一篇《手把手教你,使用JWT實(shí)現(xiàn)單點(diǎn)登錄》的文章,里面介紹的比較詳細(xì),有興趣的朋友可以看一下,沒了解的也沒關(guān)系,我們在此簡單的介紹一下 token 方案。

圖片圖片

從上圖,我們可以很清晰的看到,token 方案的實(shí)現(xiàn)主要有以下幾個(gè)步驟:

1、用戶登錄成功之后,服務(wù)端會給用戶生成一個(gè)唯一有效的憑證,這個(gè)有效值被稱為token

2、當(dāng)用戶每次請求其他的業(yè)務(wù)接口時(shí),需要在請求頭部帶上token

3、服務(wù)端接受到客戶端業(yè)務(wù)接口請求時(shí),會驗(yàn)證token的合法性,如果不合法會提示給客戶端;如果合法,才會進(jìn)入業(yè)務(wù)處理流程。

在實(shí)際使用過程中,當(dāng)用戶登錄成功之后,生成的token存放在redis中時(shí)是有時(shí)效的,一般設(shè)置為2個(gè)小時(shí),過了2個(gè)小時(shí)之后會自動失效,這個(gè)時(shí)候我們就需要重新登錄,然后再次獲取有效token。

token方案,是目前業(yè)務(wù)類型的項(xiàng)目當(dāng)中使用最廣的方案,而且實(shí)用性非常高,可以很有效的防止黑客們進(jìn)行抓包、爬取數(shù)據(jù)。

但是 token 方案也有一些缺點(diǎn)!最明顯的就是與第三方公司進(jìn)行接口對接的時(shí)候,當(dāng)你的接口請求量非常大,這個(gè)時(shí)候 token 突然失效了,會有大量的接口請求失敗。

這個(gè)我深有體會,我記得在很早的時(shí)候,跟一家中、大型互聯(lián)網(wǎng)公司進(jìn)行聯(lián)調(diào)的時(shí)候,他們提供給我的接口對接方案就是token方案,當(dāng)時(shí)我司的流量高峰期時(shí)候,請求他們的接口大量報(bào)錯(cuò),原因就是因?yàn)閠oken失效了,當(dāng)token失效時(shí),我們會調(diào)用他們刷新token接口,刷新完成之后,在token失效與重新刷新token這個(gè)時(shí)間間隔期間,就會出現(xiàn)大量的請求失敗的日志,因此在實(shí)際API對接過程中,我不推薦大家采用 token方案。

2.2、接口簽名

接口簽名,顧名思義,就是通過一些簽名規(guī)則對參數(shù)進(jìn)行簽名,然后把簽名的信息放入請求頭部,服務(wù)端收到客戶端請求之后,同樣的只需要按照已定的規(guī)則生產(chǎn)對應(yīng)的簽名串與客戶端的簽名信息進(jìn)行對比,如果一致,就進(jìn)入業(yè)務(wù)處理流程;如果不通過,就提示簽名驗(yàn)證失敗。

圖片圖片

在接口簽名方案中,主要有四個(gè)核心參數(shù):

1、appid表示應(yīng)用ID,其中與之匹配的還有appsecret,表示應(yīng)用密鑰,用于數(shù)據(jù)的簽名加密,不同的對接項(xiàng)目分配不同的appid和appsecret,保證數(shù)據(jù)安全

2、timestamp 表示時(shí)間戳,當(dāng)請求的時(shí)間戳與服務(wù)器中的時(shí)間戳,差值在5分鐘之內(nèi),屬于有效請求,不在此范圍內(nèi),屬于無效請求

3、nonce 表示臨時(shí)流水號,用于防止重復(fù)提交驗(yàn)證

4、signature 表示簽名字段,用于判斷接口請求是否有效。

其中簽名的生成規(guī)則,分兩個(gè)步驟:

  • 第一步:對請求參數(shù)進(jìn)行一次md5加密簽名
//步驟一
String 參數(shù)1 = 請求方式 + 請求URL相對地址 + 請求Body字符串;
String 參數(shù)1加密結(jié)果= md5(參數(shù)1)
  • 第二步:對第一步簽名結(jié)果,再進(jìn)行一次md5加密簽名
//步驟二
String 參數(shù)2 = appsecret + timestamp + nonce + 參數(shù)1加密結(jié)果;
String 參數(shù)2加密結(jié)果= md5(參數(shù)2)

參數(shù)2加密結(jié)果,就是我們要的最終簽名串。

接口簽名方案,尤其是在接口請求量很大的情況下,依然很穩(wěn)定。

換句話說,你可以將接口簽名看作成對token方案的一種補(bǔ)充。

但是如果想把接口簽名方案,推廣到前后端對接,答案是:不適合。

因?yàn)楹灻?jì)算非常復(fù)雜,其次,就是容易泄漏appsecret!

說了這么多,下面我們就一起來用程序?qū)嵺`一下吧!

二、程序?qū)嵺`

2.1、token方案

就像上文所說,token方案重點(diǎn)在于,當(dāng)用戶登錄成功之后,我們只需要生成好對應(yīng)的token,然后將其返回給前端,在下次請求業(yè)務(wù)接口的時(shí)候,需要把token帶上。

具體的實(shí)踐,也可以分兩種:

  • 第一種:采用uuid生成token,然后將token存放在redis中,同時(shí)設(shè)置有效期2哥小時(shí)
  • 第二種:采用JWT工具來生成token,這種token是可以跨平臺的,天然支持分布式,其實(shí)本質(zhì)也是采用時(shí)間戳+密鑰,來生成一個(gè)token。

下面,我們介紹的是第二種實(shí)現(xiàn)方式。

首先,編寫一個(gè)jwt 工具。

public class JwtTokenUtil {
    //定義token返回頭部
    public static final String AUTH_HEADER_KEY = "Authorization";
    //token前綴
    public static final String TOKEN_PREFIX = "Bearer ";
    //簽名密鑰
    public static final String KEY = "q3t6w9z$C&F)J@NcQfTjWnZr4u7x";
    //有效期默認(rèn)為 2hour
    public static final Long EXPIRATION_TIME = 1000L*60*60*2;
    /**
     * 創(chuàng)建TOKEN
     * @param content
     * @return
     */
    public static String createToken(String content){
        return TOKEN_PREFIX + JWT.create()
                .withSubject(content)
                .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .sign(Algorithm.HMAC512(KEY));
    }
    /**
     * 驗(yàn)證token
     * @param token
     */
    public static String verifyToken(String token) throws Exception {
        try {
            return JWT.require(Algorithm.HMAC512(KEY))
                    .build()
                    .verify(token.replace(TOKEN_PREFIX, ""))
                    .getSubject();
        } catch (TokenExpiredException e){
            throw new Exception("token已失效,請重新登錄",e);
        } catch (JWTVerificationException e) {
            throw new Exception("token驗(yàn)證失?。?,e);
        }
    }
}

接著,我們在登錄的時(shí)候,生成一個(gè)token,然后返回給客戶端。

@RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"})
public UserVo login(@RequestBody UserDto userDto, HttpServletResponse response){
    //...參數(shù)合法性驗(yàn)證
    //從數(shù)據(jù)庫獲取用戶信息
    User dbUser = userService.selectByUserNo(userDto.getUserNo);
    //....用戶、密碼驗(yàn)證
    //創(chuàng)建token,并將token放在響應(yīng)頭
    UserToken userToken = new UserToken();
    BeanUtils.copyProperties(dbUser,userToken);
    String token = JwtTokenUtil.createToken(JSONObject.toJSONString(userToken));
    response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, token);
    //定義返回結(jié)果
    UserVo result = new UserVo();
    BeanUtils.copyProperties(dbUser,result);
    return result;
}

最后,編寫一個(gè)統(tǒng)一攔截器,用于驗(yàn)證客戶端傳入的token是否有效。

@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 從http請求頭中取出token
        final String token = request.getHeader(JwtTokenUtil.AUTH_HEADER_KEY);
        //如果不是映射到方法,直接通過
        if(!(handler instanceof HandlerMethod)){
            return true;
        }
        //如果是方法探測,直接通過
        if (HttpMethod.OPTIONS.equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            return true;
        }
        //如果方法有JwtIgnore注解,直接通過
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method=handlerMethod.getMethod();
        if (method.isAnnotationPresent(JwtIgnore.class)) {
            JwtIgnore jwtIgnore = method.getAnnotation(JwtIgnore.class);
            if(jwtIgnore.value()){
                return true;
            }
        }
        LocalAssert.isStringEmpty(token, "token為空,鑒權(quán)失??!");
        //驗(yàn)證,并獲取token內(nèi)部信息
        String userToken = JwtTokenUtil.verifyToken(token);
        //將token放入本地緩存
        WebContextUtil.setUserToken(userToken);
        return true;
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //方法結(jié)束后,移除緩存的token
        WebContextUtil.removeUserToken();
    }
}

在生成token的時(shí)候,我們可以將一些基本的用戶信息,例如用戶ID、用戶姓名,存入token中,這樣當(dāng)token鑒權(quán)通過之后,我們只需要通過解析里面的信息,即可獲取對應(yīng)的用戶ID,可以省下去數(shù)據(jù)庫查詢一些基本信息的操作。

同時(shí),使用的過程中,盡量不要存放敏感信息,因?yàn)楹苋菀妆缓诳徒馕觯?/p>

2.2、接口簽名

同樣的思路,站在服務(wù)端驗(yàn)證的角度,我們可以先編寫一個(gè)簽名攔截器,驗(yàn)證客戶端傳入的參數(shù)是否合法,只要有一項(xiàng)不合法,就提示錯(cuò)誤。

具體代碼實(shí)踐如下:

public class SignInterceptor implements HandlerInterceptor {

    @Autowired
    private AppSecretService appSecretService;

    @Autowired
    private RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        //appId驗(yàn)證
        final String appId = request.getHeader("appid");
        if(StringUtils.isEmpty(appId)){
            throw new CommonException("appid不能為空");
        }
        String appSecret = appSecretService.getAppSecretByAppId(appId);
        if(StringUtils.isEmpty(appSecret)){
            throw new CommonException("appid不合法");
        }
        //時(shí)間戳驗(yàn)證
        final String timestamp = request.getHeader("timestamp");
        if(StringUtils.isEmpty(timestamp)){
            throw new CommonException("timestamp不能為空");
        }
        //大于5分鐘,非法請求
        long diff = System.currentTimeMillis() - Long.parseLong(timestamp);
        if(Math.abs(diff) > 1000 * 60 * 5){
            throw new CommonException("timestamp已過期");
        }
        //臨時(shí)流水號,防止重復(fù)提交
        final String nonce = request.getHeader("nonce");
        if(StringUtils.isEmpty(nonce)){
            throw new CommonException("nonce不能為空");
        }
        //驗(yàn)證簽名
        final String signature = request.getHeader("signature");
        if(StringUtils.isEmpty(nonce)){
            throw new CommonException("signature不能為空");
        }
        final String method = request.getMethod();
        final String url = request.getRequestURI();
        final String body = StreamUtils.copyToString(request.getInputStream(), Charset.forName("UTF-8"));
        String signResult = SignUtil.getSignature(method, url, body, timestamp, nonce, appSecret);
        if(!signature.equals(signResult)){
            throw new CommonException("簽名驗(yàn)證失敗");
        }
        //檢查是否重復(fù)請求
        String key = appId + "_" + timestamp + "_" + nonce;
        if(redisUtil.exist(key)){
            throw new CommonException("當(dāng)前請求正在處理,請不要重復(fù)提交");
        }
        //設(shè)置5分鐘
        redisUtil.save(key, signResult, 5*60);
        request.setAttribute("reidsKey",key);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
        //請求處理完畢之后,移除緩存
        String value = request.getAttribute("reidsKey");
        if(!StringUtils.isEmpty(value)){
            redisUtil.remove(value);
        }
    }

}

簽名工具類SignUtil:

public class SignUtil {

    /**
     * 簽名計(jì)算
     * @param method
     * @param url
     * @param body
     * @param timestamp
     * @param nonce
     * @param appSecret
     * @return
     */
    public static String getSignature(String method, String url, String body, String timestamp, String nonce, String appSecret){
        //第一層簽名
        String requestStr1 = method + url + body + appSecret;
        String signResult1 = DigestUtils.md5Hex(requestStr1);
        //第二層簽名
        String requestStr2 = appSecret + timestamp + nonce + signResult1;
        String signResult2 = DigestUtils.md5Hex(requestStr2);
        return signResult2;
    }
}

簽名計(jì)算,可以換成hamc方式進(jìn)行計(jì)算,思路大致一樣。

三、小結(jié)

上面介紹的token和接口簽名方案,對外都可以對提供的接口起到保護(hù)作用,防止別人篡改請求,或者模擬請求。

但是缺少對數(shù)據(jù)自身的安全保護(hù),即請求的參數(shù)和返回的數(shù)據(jù)都是有可能被別人攔截獲取的,而這些數(shù)據(jù)又是明文的,所以只要被攔截,就能獲得相應(yīng)的業(yè)務(wù)數(shù)據(jù)。

對于這種情況,推薦大家對請求參數(shù)和返回參數(shù)進(jìn)行加密處理,例如RSA、AES等加密工具。

同時(shí),在生產(chǎn)環(huán)境,采用https方式進(jìn)行傳輸,可以起到很好的安全保護(hù)作用!

責(zé)任編輯:武曉燕 來源: 潘志的研發(fā)筆記
API接口安全
相關(guān)推薦

2022-05-24 08:21:16

數(shù)據(jù)安全API

2024-10-15 08:08:13

2022-02-14 07:03:31

網(wǎng)站安全MFA

2023-11-10 08:04:43

Java 17Java 11JDK

2025-03-17 11:21:08

APISwagger界面

2024-02-02 09:21:57

API性能策略

2023-11-29 09:04:00

前端接口

2022-05-05 12:57:40

架構(gòu)

2021-08-27 07:06:10

IOJava抽象

2024-02-20 21:34:16

循環(huán)GolangGo

2024-09-30 09:33:31

2024-11-27 16:07:45

2023-04-03 00:09:13

2024-09-09 00:00:00

編寫技術(shù)文檔

2023-08-04 08:20:56

DockerfileDocker工具

2023-08-10 08:28:46

網(wǎng)絡(luò)編程通信

2023-09-10 21:42:31

2023-06-30 08:18:51

敏捷開發(fā)模式

2025-04-08 00:16:07

2024-03-13 15:18:00

接口冪等性高并發(fā)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號