欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Boot接口設(shè)計防篡改、防重放攻擊詳解

 更新時間:2019年07月28日 15:04:22   作者:云天  
這篇文章主要給大家介紹了關(guān)于Spring Boot接口設(shè)計防篡改、防重放攻擊的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家學(xué)習(xí)或者使用Spring Boot具有一定的參考學(xué)習(xí)價值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

本示例主要內(nèi)容

  • 請求參數(shù)防止篡改攻擊
  • 基于timestamp方案,防止重放攻擊
  • 使用swagger接口文檔自動生成

API接口設(shè)計

API接口由于需要供第三方服務(wù)調(diào)用,所以必須暴露到外網(wǎng),并提供了具體請求地址和請求參數(shù),為了防止被別有用心之人獲取到真實請求參數(shù)后再次發(fā)起請求獲取信息,需要采取很多安全機(jī)制。

  • 需要采用https方式對第三方提供接口,數(shù)據(jù)的加密傳輸會更安全,即便是被破解,也需要耗費(fèi)更多時間
  • 需要有安全的后臺驗證機(jī)制,達(dá)到防參數(shù)篡改+防二次請求(本示例內(nèi)容)

防止重放攻擊必須要保證請求只在限定的時間內(nèi)有效,需要通過在請求體中攜帶當(dāng)前請求的唯一標(biāo)識,并且進(jìn)行簽名防止被篡改,所以防止重放攻擊需要建立在防止簽名被串改的基礎(chǔ)之上

防止篡改

  • 客戶端使用約定好的秘鑰對傳輸參數(shù)進(jìn)行加密,得到簽名值sign1,并且將簽名值存入headers,發(fā)送請求給服務(wù)端
  • 服務(wù)端接收客戶端的請求,通過過濾器使用約定好的秘鑰對請求的參數(shù)(headers除外)再次進(jìn)行簽名,得到簽名值sign2。
  • 服務(wù)端對比sign1和sign2的值,如果對比一致,認(rèn)定為合法請求。如果對比不一致,說明參數(shù)被篡改,認(rèn)定為非法請求

基于timestamp的方案,防止重放

每次HTTP請求,headers都需要加上timestamp參數(shù),并且timestamp和請求的參數(shù)一起進(jìn)行數(shù)字簽名。因為一次正常的HTTP請求,從發(fā)出到達(dá)服務(wù)器一般都不會超過60s,所以服務(wù)器收到HTTP請求之后,首先判斷時間戳參數(shù)與當(dāng)前時間相比較,是否超過了60s,如果超過了則提示簽名過期(這個過期時間最好做成配置)。

一般情況下,黑客從抓包重放請求耗時遠(yuǎn)遠(yuǎn)超過了60s,所以此時請求中的timestamp參數(shù)已經(jīng)失效了。

如果黑客修改timestamp參數(shù)為當(dāng)前的時間戳,則sign參數(shù)對應(yīng)的數(shù)字簽名就會失效,因為黑客不知道簽名秘鑰,沒有辦法生成新的數(shù)字簽名(前端一定要保護(hù)好秘鑰和加密算法)。

相關(guān)核心思路代碼

過濾器

@Slf4j
@Component
/**
 * 防篡改、防重放攻擊過濾器
 */
public class SignAuthFilter implements Filter {
  @Autowired
  private SecurityProperties securityProperties;

  @Override
  public void init(FilterConfig filterConfig) {
    log.info("初始化 SignAuthFilter");
  }

  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    // 防止流讀取一次后就沒有了, 所以需要將流繼續(xù)寫出去
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    HttpServletRequest requestWrapper = new RequestWrapper(httpRequest);

    Set<String> uriSet = new HashSet<>(securityProperties.getIgnoreSignUri());
    String requestUri = httpRequest.getRequestURI();
    boolean isMatch = false;
    for (String uri : uriSet) {
      isMatch = requestUri.contains(uri);
      if (isMatch) {
        break;
      }
    }
    log.info("當(dāng)前請求的URI是==>{},isMatch==>{}", httpRequest.getRequestURI(), isMatch);
    if (isMatch) {
      filterChain.doFilter(requestWrapper, response);
      return;
    }

    String sign = requestWrapper.getHeader("Sign");
    Long timestamp = Convert.toLong(requestWrapper.getHeader("Timestamp"));

    if (StrUtil.isEmpty(sign)) {
      returnFail("簽名不允許為空", response);
      return;
    }

    if (timestamp == null) {
      returnFail("時間戳不允許為空", response);
      return;
    }

    //重放時間限制(單位分)
    Long difference = DateUtil.between(DateUtil.date(), DateUtil.date(timestamp * 1000), DateUnit.MINUTE);
    if (difference > securityProperties.getSignTimeout()) {
      returnFail("已過期的簽名", response);
      log.info("前端時間戳:{},服務(wù)端時間戳:{}", DateUtil.date(timestamp * 1000), DateUtil.date());
      return;
    }

    boolean accept = true;
    SortedMap<String, String> paramMap;
    switch (requestWrapper.getMethod()) {
      case "GET":
        paramMap = HttpUtil.getUrlParams(requestWrapper);
        accept = SignUtil.verifySign(paramMap, sign, timestamp);
        break;
      case "POST":
      case "PUT":
      case "DELETE":
        paramMap = HttpUtil.getBodyParams(requestWrapper);
        accept = SignUtil.verifySign(paramMap, sign, timestamp);
        break;
      default:
        accept = true;
        break;
    }
    if (accept) {
      filterChain.doFilter(requestWrapper, response);
    } else {
      returnFail("簽名驗證不通過", response);
    }
  }

  private void returnFail(String msg, ServletResponse response) throws IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json; charset=utf-8");
    PrintWriter out = response.getWriter();
    String result = JSONObject.toJSONString(AjaxResult.fail(msg));
    out.println(result);
    out.flush();
    out.close();
  }

  @Override
  public void destroy() {
    log.info("銷毀 SignAuthFilter");
  }
}

簽名驗證

@Slf4j
public class SignUtil {

  /**
   * 驗證簽名
   *
   * @param params
   * @param sign
   * @return
   */
  public static boolean verifySign(SortedMap<String, String> params, String sign, Long timestamp) {
    String paramsJsonStr = "Timestamp" + timestamp + JSONObject.toJSONString(params);
    return verifySign(paramsJsonStr, sign);
  }

  /**
   * 驗證簽名
   *
   * @param params
   * @param sign
   * @return
   */
  public static boolean verifySign(String params, String sign) {
    log.info("Header Sign : {}", sign);
    if (StringUtils.isEmpty(params)) {
      return false;
    }
    log.info("Param : {}", params);
    String paramsSign = getParamsSign(params);
    log.info("Param Sign : {}", paramsSign);
    return sign.equals(paramsSign);
  }

  /**
   * @return 得到簽名
   */
  public static String getParamsSign(String params) {
    return DigestUtils.md5DigestAsHex(params.getBytes()).toUpperCase();
  }
}

不做簽名驗證的接口做成配置(application.yml)

spring:
 security:
  # 簽名驗證超時時間
  signTimeout: 300
  # 允許未簽名訪問的url地址
  ignoreSignUri:
   - /swagger-ui.html
   - /swagger-resources
   - /v2/api-docs
   - /webjars/springfox-swagger-ui
   - /csrf

屬性代碼(SecurityProperties.java)

@Component
@ConfigurationProperties(prefix = "spring.security")
@Data
public class SecurityProperties {

  /**
   * 允許忽略簽名地址
   */
  List<String> ignoreSignUri;

  /**
   * 簽名超時時間(分)
   */
  Integer signTimeout;
}

簽名測試控制器

@RestController
@Slf4j
@RequestMapping("/sign")
@Api(value = "簽名controller", tags = {"簽名測試接口"})
public class SignController {

  @ApiOperation("get測試")
  @ApiImplicitParams({
      @ApiImplicitParam(name = "username", value = "用戶名", required = true, dataType = "String"),
      @ApiImplicitParam(name = "password", value = "密碼", required = true, dataType = "String")
  })
  @GetMapping("/testGet")
  public AjaxResult testGet(String username, String password) {
    log.info("username:{},password:{}", username, password);
    return AjaxResult.success("GET參數(shù)檢驗成功");
  }

  @ApiOperation("post測試")
  @ApiImplicitParams({
      @ApiImplicitParam(name = "data", value = "測試實體", required = true, dataType = "TestVo")
  })
  @PostMapping("/testPost")
  public AjaxResult<TestVo> testPost(@Valid @RequestBody TestVo data) {
    return AjaxResult.success("POST參數(shù)檢驗成功", data);
  }

  @ApiOperation("put測試")
  @ApiImplicitParams({
      @ApiImplicitParam(name = "id", value = "編號", required = true, dataType = "Integer"),
      @ApiImplicitParam(name = "data", value = "測試實體", required = true, dataType = "TestVo")
  })
  @PutMapping("/testPut/{id}")
  public AjaxResult testPut(@PathVariable Integer id, @RequestBody TestVo data) {
    data.setId(id);
    return AjaxResult.success("PUT參數(shù)檢驗成功", data);
  }

  @ApiOperation("delete測試")
  @ApiImplicitParams({
      @ApiImplicitParam(name = "idList", value = "編號列表", required = true, dataType = "List<Integer> ")
  })
  @DeleteMapping("/testDelete")
  public AjaxResult testDelete(@RequestBody List<Integer> idList) {
    return AjaxResult.success("DELETE參數(shù)檢驗成功", idList);
  }
}

前端js請求示例

var settings = {
 "async": true,
 "crossDomain": true,
 "url": "http://localhost:8080/sign/testGet?username=abc&password=123",
 "method": "GET",
 "headers": {
  "Sign": "46B1990701BCF090E3E6E517751DB02F",
  "Timestamp": "1564126422",
  "User-Agent": "PostmanRuntime/7.15.2",
  "Accept": "*/*",
  "Cache-Control": "no-cache",
  "Postman-Token": "a9d10ef5-283b-4ed3-8856-72d4589fb61d,6e7fa816-000a-4b29-9882-56d6ae0f33fb",
  "Host": "localhost:8080",
  "Cookie": "SESSION=OWYyYzFmMDMtODkyOC00NDg5LTk4ZTYtODNhYzcwYjQ5Zjg2",
  "Accept-Encoding": "gzip, deflate",
  "Connection": "keep-alive",
  "cache-control": "no-cache"
 }
}

$.ajax(settings).done(function (response) {
 console.log(response);
});

注意事項

  • 該示例沒有設(shè)置秘鑰,只做了參數(shù)升排然后創(chuàng)建md5簽名
  • 示例請求的參數(shù)md5原文本為:Timestamp1564126422{"password":"123","username":"abc"}
  • 注意headers請求頭帶上了Sign和Timestamp參數(shù)
  • js讀取的Timestamp必須要在服務(wù)端獲取
  • 該示例不包括分布試環(huán)境下,多臺服務(wù)器時間同步問題

自動生成接口文檔

配置代碼

@Configuration
@EnableSwagger2
public class Swagger2Config {
  @Bean
  public Docket createRestApi() {
    return new Docket(DocumentationType.SWAGGER_2)
        .apiInfo(apiInfo())
        .select()
        .apis(RequestHandlerSelectors.basePackage("com.easy.sign"))
        .paths(PathSelectors.any())
        .build();
  }

  //構(gòu)建 api文檔的詳細(xì)信息函數(shù),注意這里的注解引用的是哪個
  private ApiInfo apiInfo() {
    return new ApiInfoBuilder()
        .title("簽名示例")
        .contact(new Contact("簽名示例網(wǎng)站", "http://www.baidu.com", "test@qq.com"))
        .version("1.0.0")
        .description("簽名示例接口描述")
        .build();
  }
}

自動生成文檔地址:http://localhost:8080/swagger-ui.html

資料

總結(jié)

以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,謝謝大家對腳本之家的支持。

相關(guān)文章

  • 一文詳解如何通過Java實現(xiàn)SSL交互功能

    一文詳解如何通過Java實現(xiàn)SSL交互功能

    這篇文章主要為大家詳細(xì)介紹了如何通過Java實現(xiàn)SSL交互功能,文中的示例代碼講解詳細(xì),對我們的學(xué)習(xí)或工作有一定的幫助,需要的可以參考一下
    2023-04-04
  • SpringBoot整合Lettuce redis過程解析

    SpringBoot整合Lettuce redis過程解析

    這篇文章主要介紹了SpringBoot整合Lettuce redis過程解析,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2019-10-10
  • 關(guān)于@DS注解切換數(shù)據(jù)源失敗的原因?qū)崙?zhàn)記錄

    關(guān)于@DS注解切換數(shù)據(jù)源失敗的原因?qū)崙?zhàn)記錄

    項目配置了多個數(shù)據(jù)源,需要使用@DS注解來切換數(shù)據(jù)源,但是卻遇到了問題,下面這篇文章主要給大家介紹了關(guān)于@DS注解切換數(shù)據(jù)源失敗原因的相關(guān)資料,需要的朋友可以參考下
    2023-05-05
  • JDBC PreparedStatement Like參數(shù)報錯解決方案

    JDBC PreparedStatement Like參數(shù)報錯解決方案

    這篇文章主要介紹了JDBC PreparedStatement Like參數(shù)報錯解決方案,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2020-10-10
  • Java刪除二叉搜索樹最大元素和最小元素的方法詳解

    Java刪除二叉搜索樹最大元素和最小元素的方法詳解

    這篇文章主要介紹了Java刪除二叉搜索樹最大元素和最小元素的方法,結(jié)合實例形式詳細(xì)分析了java針對二叉搜索樹的基本遍歷、查找、判斷、刪除等相關(guān)操作技巧,需要的朋友可以參考下
    2020-03-03
  • java實現(xiàn)撲克牌牌面小程序

    java實現(xiàn)撲克牌牌面小程序

    這篇文章主要為大家詳細(xì)介紹了java實現(xiàn)撲克牌牌面小程序,文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2020-11-11
  • Java實現(xiàn)ftp文件上傳下載解決慢中文亂碼多個文件下載等問題

    Java實現(xiàn)ftp文件上傳下載解決慢中文亂碼多個文件下載等問題

    這篇文章主要介紹了Java實現(xiàn)ftp文件上傳下載解決慢中文亂碼多個文件下載等問題的相關(guān)資料,非常不錯具有參考借鑒價值,需要的朋友可以參考下
    2016-10-10
  • 關(guān)于spring的自定義緩存注解分析

    關(guān)于spring的自定義緩存注解分析

    這篇文章主要介紹了關(guān)于spring的自定義緩存注解分析,因為所有的key的失效時間都一樣,要想實現(xiàn)不同的key不同的失效時間,就得需要自定義緩存注解,需要的朋友可以參考下
    2023-05-05
  • 淺析SpringBoot統(tǒng)一返回結(jié)果的實現(xiàn)

    淺析SpringBoot統(tǒng)一返回結(jié)果的實現(xiàn)

    前后端開發(fā)過程中數(shù)據(jù)交互規(guī)范化是一件非常重要的事情,不僅可以減少前后端交互過程中出現(xiàn)的問題,也讓代碼邏輯更加具有條理,下面小編就和大家講講SpringBoot如何統(tǒng)一返回結(jié)果的吧
    2023-07-07
  • java arrayList遍歷的四種方法及Java中ArrayList類的用法

    java arrayList遍歷的四種方法及Java中ArrayList類的用法

    arraylist是動態(tài)數(shù)組,它具有三個好處分別是:動態(tài)的增加和減少元素 、實現(xiàn)了ICollection和IList接口、靈活的設(shè)置數(shù)組的大小,本文給大家介紹java arraylist遍歷及Java arraylist 用法,感興趣的朋友一起學(xué)習(xí)吧
    2015-11-11

最新評論