API 安全机制
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:
Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token( 通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 Token是客户端访问服务端的凭证。
时间戳超时机制:用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间( 比如5分钟),则认为该请求失效。 时间戳超时机制是防御DOS攻击的有效手段。
签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。 签名机制保证了数据不会被篡改。
拒绝重复调用(非必须):客户端第一次访问时,将签名sign存放到缓存服务器中, 超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。如果有人使用同一个URL再次访问,如果发现缓存服务器中已经存在了本次签名,则拒绝服务。如果在缓存中的签名失效的情况下,有人使用同一个URL再次访问,则会被时间戳超时机制拦截。这就是为什么要求时间戳的超时时间要设定为跟时间戳的超时时间一致 。拒绝重复调用机制确保URL被别人截获了也无法使用(如抓取数据)。
整个流程如下:
1、客户端通过用户名密码登录服务器并获取Token
2、客户端生成时间戳timestamp,并将timestamp作为其中一个参数
3、客户端将所有的参数,包括Token和timestamp按照自己的算法进行排序加密得到签名sign
4、将token、timestamp和sign作为请求时必须携带的参数加在每个请求的URL后边(http://url/request?token=123×tamp=123&sign=123123123)
5、服务端写一个过滤器对token、timestamp和sign进行验证,只有在 token有效、timestamp未超时、缓存服务器中不存在sign三种情况同时满足,本次请求才有效
在以上三中机制的保护下,
如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过;
如果有人使用已经劫持的URL进行DOS攻击,服务器则会因为缓存服务器中已经存在签名或时间戳超时而拒绝服务,所以DOS攻击也是不可能的;
如果签名算法和用户名密码都暴露了,那齐天大圣来了估计也不好使吧。。。。
猜您可能还喜欢
- 在ASP.NET中基于Owin OAuth使用Client Credentials Grant授权发放Token(448)
- ASP.NET Web API与Owin OAuth:使用Access Toke调用受保护的API(407)
- API接口之安全篇(374)
- 授权认证登录之 Cookie、Session、Token、JWT 详解(373)
- ASP.NET Web API与Owin OAuth:调用与用户相关的Web API(370)
- 接口安全小计(359)
- API 安全机制(354)
- Web API与OAuth:既生access token,何生refresh token(350)
- 什么是哈希算法?(335)
- 关于Token与授权(332)
评论列表
发表评论
文章分类
文章归档
- 2024年5月 (2)
- 2024年4月 (4)
- 2024年3月 (30)
- 2024年1月 (4)
- 2023年12月 (2)
- 2023年11月 (4)
- 2023年10月 (4)
- 2023年9月 (6)
- 2023年3月 (2)
- 2023年2月 (1)
- 2023年1月 (1)
- 2022年12月 (1)
- 2022年9月 (21)
- 2022年8月 (10)
- 2022年7月 (3)
- 2022年4月 (1)
- 2022年3月 (13)
- 2021年8月 (1)
- 2021年3月 (1)
- 2020年12月 (42)
- 2020年11月 (7)
- 2020年10月 (5)
- 2020年8月 (1)
- 2020年6月 (1)
- 2020年3月 (2)
- 2019年12月 (8)
- 2019年11月 (3)
- 2019年9月 (1)
- 2019年4月 (1)
- 2019年3月 (6)
- 2019年2月 (1)
- 2018年7月 (7)
阅读排行
- 1.asp.net mvc内微信pc端、H5、JsApi支付方式总结(5130)
- 2.各大搜索网站网站收录提交入口地址(2584)
- 3.ECharts仪表盘实例及参数使用详解(2478)
- 4.windows 10安装myeclipse 10破解补丁cracker.jar、run.bat闪退解决办法(2351)
- 5.华为鸿蒙系统清除微信浏览器缓存方法(2154)
- 6.HTML5 WebSocket与C#建立Socket连接实现代码(2025)
- 7.HBuilder编辑器格式化代码(1609)
- 8.Js异步async、await关键字详细介绍(lambda表达式中使用async和await关键字)(1361)
- 9. asp.net mvc开发移动端省、市、县三级地区选择控件实现方法(1250)
- 10. C# 使用Socket链接Ftp服务器下载上传代码FTPClient(1237)