2. 程式人生 > >RestFul介面的安全驗證事例

RestFul介面的安全驗證事例

阿新 發佈:2019-01-27

這次要寫一些restful的介面,在訪問安全這一塊最開始我想到用redis儲存模擬session,客戶端訪問會帶token過來模擬jsessionid,然後比對,但是這樣會讓token暴露在網路中,很不安全而且沒有意義。

  • 其實可以用簽名的方法來解決這個問題:

首先:client開通服務的時候,server會給它建立authKey和一個token,authKey相當於是公鑰可以暴露在網路中,token是私鑰不會暴露在網路中

然後:client請求服務端的時候在header中新增請求的時間戳,並且對傳送的資訊以及時間戳和token拼接起來的字串進行簽名(可以採用MD5或者SHA-0、SHA-1等)

最後:把簽名串以及資訊和header的資訊傳送到服務端,然後服務端會取出header資訊以及簽名串和資訊,先對header裡面的時間和伺服器接收到的時間校驗然後求差值如果大於多少秒就返回時間錯誤(防止重複攻擊),然後在伺服器端也對資料拼接簽名,最後對比簽名是否相等,如果不等就返回錯誤資訊,如果相等下面就可以開始處理業務資訊。

  • 剛寫了份demo程式碼 結構如下:

這裡寫圖片描述

  • 工程中使用springmvc釋出服務,其中controller中的程式碼如下:
package com.lijie.api;

import java.util.Calendar;

import javax.servlet.http.HttpServletRequest;

import
 
 org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import com.lijie.utils.Signature;

/**
 * 
 * @author
 
 Lijie
 *
 */
@Controller
public class ApiAuth {

    /**
     * 測試auth
     * @param request
     * @param authKey
     * @param sign
     * @param info
     * @return
     * @throws Exception
     */
    @RequestMapping(value = "/api/auth/test", method = RequestMethod.POST)
    @ResponseBody
    public String testAuth( HttpServletRequest request, String authKey, String sign,
                            String info) throws Exception {

        String reqTime = request.getHeader("ReqTime-Time");

        //這裡的token應該是根據客戶端那邊傳來的authKey從redis裡面將token取出來,我這裡直接寫死了
        String token = "lijieauthtest01";

        String check = check(reqTime, info, token, sign);

        System.out.println("服務端:" + check);

        //do service

        return check;
    }

    /**
     * 校驗引數和簽名
     * 
     * @param reqTime
     * @param info
     * @param token
     * @param sign
     * @return
     * @throws Exception
     */
    private String check(String reqTime, String info, String token, String sign) throws Exception {

        if (StringUtils.isEmpty(reqTime)) {
            return "頭部時間為空";
        }
        if (StringUtils.isEmpty(info)) {
            return "資訊為空";
        }
        if (StringUtils.isEmpty(token)) {
            return "沒有授權";
        }
        if (StringUtils.isEmpty(sign)) {
            return "簽名為空";
        }

        long serverTime = Calendar.getInstance().getTimeInMillis();

        long clientTime = Long.parseLong(reqTime);

        long flag = serverTime - clientTime;

        if (flag < 0 || flag > 5000) {
            return "時間錯誤";
        }

        String allStr = info + reqTime + token;

        String md5 = Signature.md5(allStr);

        if (sign.equals(md5)) {

            System.out.println("服務端未簽名時為:" + allStr);

            System.out.println("服務端簽名之後為:" + md5);

            return "簽名成功";
        }

        return "簽名錯誤";
    }

}
  • 測試httpclient請求的程式碼如下:
package com.lijie.test;

import java.util.ArrayList;
import java.util.Calendar;
import java.util.List;

import org.apache.http.NameValuePair;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.message.BasicHeader;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.util.EntityUtils;
import org.junit.Test;

import com.lijie.utils.Signature;

public class MyTest {

    private static final String token = "lijieauthtest01";

    @Test
    public void authTest() throws Exception {
        //建立一個httpclient物件
        CloseableHttpClient client = HttpClients.createDefault();

        //建立一個post物件
        HttpPost post = new HttpPost("http://localhost:8080/api/auth/test");

        //建立一個Entity,模擬表單資料
        List<NameValuePair> formList = new ArrayList<>();

        //新增表單資料
        long clientTime = Calendar.getInstance().getTimeInMillis();
        String info = "這是一個測試 restful api的 info";
        String reqStr = info + clientTime + token;
        formList.add(new BasicNameValuePair("authKey", "1000001"));
        formList.add(new BasicNameValuePair("info", info));
        String md5 = Signature.md5(reqStr);
        formList.add(new BasicNameValuePair("sign", md5));
        //包裝成一個Entity物件
        StringEntity entity = new UrlEncodedFormEntity(formList, "utf-8");

        //設定請求的內容
        post.setEntity(entity);

        //設定請求的報文頭部的編碼
        post.setHeader(
            new BasicHeader("Content-Type", "application/x-www-form-urlencoded; charset=utf-8"));

        //設定期望服務端返回的編碼
        post.setHeader(new BasicHeader("Accept", "text/plain;charset=utf-8"));

        //設定時間
        post.setHeader(new BasicHeader("ReqTime-Time", clientTime + ""));

        System.out.println("客戶端未簽名時為:" + reqStr);

        System.out.println("客戶端簽名之後為:" + md5);

        //執行post請求
        CloseableHttpResponse response = client.execute(post);

        //獲取響應碼
        int statusCode = response.getStatusLine().getStatusCode();

        if (statusCode == 200) {

            //獲取資料
            String resStr = EntityUtils.toString(response.getEntity());

            //輸出
            System.out.println("請求成功,請求返回內容為: " + resStr);
        } else {

            //輸出
            System.out.println("請求失敗,錯誤碼為: " + statusCode);
        }

        //關閉response和client
        response.close();
        client.close();
    }
}
  • Signature類其實就是MD5加密的一個工具類,程式碼如下:
package com.lijie.utils;

import java.security.MessageDigest;

/**
 * 
 * @author Lijie
 *
 */
public class Signature {

    public static String md5(String data) throws Exception {
        // 將字串轉為位元組陣列
        byte[] strBytes = (data).getBytes();
        // 加密器
        MessageDigest md = MessageDigest.getInstance("MD5");
        // 執行加密
        md.update(strBytes);
        // 加密結果
        byte[] digest = md.digest();
        // 返回
        return byteArrayToHex(digest);
    }

    private static String byteArrayToHex(byte[] byteArray) {
        // 首先初始化一個字元陣列,用來存放每個16進位制字元

        char[] hexDigits = {    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D',
                                'E', 'F' };

        // new一個字元陣列,這個就是用來組成結果字串的(解釋一下:一個byte是八位二進位制,也就是2位十六進位制字元(2的8次方等於16的2次方))

        char[] resultCharArray = new char[byteArray.length * 2];

        // 遍歷位元組陣列,通過位運算(位運算效率高),轉換成字元放到字元陣列中去

        int index = 0;

        for (byte b : byteArray) {

            resultCharArray[index++] = hexDigits[b >>> 4 & 0xf];

            resultCharArray[index++] = hexDigits[b & 0xf];

        }

        // 字元陣列組合成字串返回

        return new String(resultCharArray);
    }

}
  • 開啟服務,測試訪問,其中服務端輸出:

這裡寫圖片描述

  • 客戶端輸出:

這裡寫圖片描述

相關推薦

RestFul介面安全驗證事例

這次要寫一些restful的介面,在訪問安全這一塊最開始我想到用redis儲存模擬session,客戶端訪問會帶token過來模擬jsessionid,然後比對,但是這樣會讓token暴露在網路中,很不安全而且沒有意義。 其實可以用簽名的方法來解決這個問題:

PHP開發api介面安全驗證

php的api介面 在實際工作中,使用PHP寫api介面是經常做的,PHP寫好介面後,前臺就可以通過連結獲取介面提供的資料,而返回的資料一般分為兩種情況,xml和json,在這個過程中,伺服器並不知道,請求的來源是什麼,有可能是別人非法呼叫我們的介面,獲取資料,因此就要使用安

PHP開發api介面安全驗證方法一

前臺想要呼叫介面,需要使用幾個引數生成簽名。時間戳:當前時間隨機數:隨機生成的隨機數 簽名:特定方法生成的sign簽名 演算法規則在前後臺互動中,演算法規則是非常重要的,前後臺都要通過演算法規則計算出簽名,至於規則怎麼制定,看你怎麼高興怎麼來。我這個演算法規則是時間戳,隨機數,口令按照首字母大小寫順序排序

使用jwt實現restful介面使用者驗證

基於restful進行前後端分離的專案由於是基於json進行資料傳輸,前端既可以是web、android也可以是IOS,但是這樣就產生了一個問題,http協議是無狀態的,restful也是無狀態的,使用者狀態資訊該如何儲存? restful介面的使用者認證

使用token和SpringMVC來實現安全RESTFul介面

首先寫一個Controller,專門用於獲取token的 @Autowiredprivate UserService userService; @RequestMapping(value = "/token", method = RequestMethod.POST)@Re

介面安全之簡訊驗證(防惡意被刷)

參考文件:    http://blog.csdn.net/u011250882/article/details/46778111 a.  限制簡訊傳送間隔  eg:60s  1次 b.  限制ip    eg: 1天最多6次 c.  限制手機號 eg:  1天最多6次

restful介面規範(安全與冪等)

GET/POST/PUT/DELETE四種方法 GET   安全且冪等     獲取表示    變更時獲取表示(快取) 200(OK) - 表示已在響應中發出204(無內容) - 資源有空表示301(Moved Permane

Spring設計安全Restful介面

設計安全的Restful介面:無使用者互動狀態的介面安全設計。我們需要實現UR攔截請求攔截,介面接入授權驗證和請求驗重。本文中不涉及任何使用者校驗。 設計原理 1.UR攔截請求攔截:通過URL進行攔截過濾; 2.接入授權驗證:驗證請求頭Token; 3.請求驗重:驗證請求序列Sequence;

使用SpringSecurity和SpringMVC來實現安全RESTFul介面

可以使用SpringSecurity在請求到@RequestMapping之前進行攔截。 題外話:Spring的Interceptor(攔截器)是在@RequestMapping之後進行攔截的。 SpringSecurity可以得到使用者資訊並在攔截器中使用  Obje

簡訊驗證介面安全防護措施

在上一篇《簡訊驗證碼介面攻擊(簡訊轟炸)原理分析》,我們瞭解了驗證碼簡訊介面遭受簡訊轟炸的原理,本篇將和大家介紹下具體的防護措施。我們知道簡訊轟炸形成的原因是因為非授權的動態簡訊獲取,如使用者註冊時的手機驗證簡訊,在使用者獲取驗證碼簡訊前系統並不能建立業務關聯。因此,在未建立

開放介面安全驗證方案(AES+RSA)

原文地址:http://wustrive2008.github.io/2015/08/21/%E5%BC%80%E6%94%BE%E6%8E%A5%E5%8F%A3%E7%9A%84%E5%AE%89%E5%85%A8%E9%AA%8C%E8%AF%81%E6%96%B9

使用Spring Security和OAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

Spring Security框架下Restful Token的驗證方案

false rri blob 返回 sch date html 官方 form 項目使用Restful的規範,權限內容的訪問,考慮使用Token驗證的權限解決方案。 驗證方案(簡要概括): 首先,用戶需要登陸,成功登陸後返回一個Token串; 然後用戶訪問有權限的內容時需要

微信H5支付 提示"網絡環境未能通過安全驗證,請稍後再試"

微信 h5 支付 按照官方https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=15_4#接入微信的H5支付,提示“網絡環境未能通過安全驗證,請稍後再試”,經排查發現服務器有前端機子,原先獲取IP的方法有誤,不能正確獲取客戶的IP。更改獲取IP

CXF 入門:創建一個基於WS-Security標準的安全驗證(CXF回調函數使用)

urn star cti say struct stc lba features ear 註意:以下客戶端調用代碼中獲取服務端ws實例,都是通過CXF 入門: 遠程接口調用方式實現 以下是服務端配置 ===================================

網絡環境未能通過安全驗證,請稍候再試

支付 安全 nbsp 未能 h5支付 http img 參數 width 1.調用第三方支付接口的時候,出現如下信息: 2.問題原因:   此處是調用的H5支付,參數IP寫的內網的IP地址。 3.解決方法:   使用H5支付的需要傳如客戶端的

(轉)SQL Server 2005兩種安全驗證模式

信任 nbsp 維護 混合 login 帳戶 所有 兩種 seve (1) Windows身份驗證模式 Windows 身份驗證模式是指用戶通過 Windows 用戶帳戶連接到SQL Server,即用戶身份由Windows 系統來驗證。SQL Server 使用 Win

rpm安裝、升級、查詢與安全驗證

a13 type 安裝包 所有 技術分享 ffffff fff pro 軟件 安裝: rpm -ivh 軟件包 升級: rpm -Uvh 軟件包 查詢:a. 查詢所有安裝的軟件包: rpm -qa b. 查詢安裝包的詳細信息: rpm -qi nginx c.

PHP開發大發彩票源碼搭建接口安全驗證

可能 後臺 搭建 轉換成 源碼 取數 取數據 獲取數據 暗號 php的大發彩票源碼搭建接口企 娥:217 1793 408在實際工作中,使用PHP寫api接口是經常做的,PHP寫好接口後,前臺就可以通過鏈接獲取接口提供的數據,而返回的數據一般分為兩種情況,xml和json,

SSH服務遠程訪問及控制(2.基於密鑰的安全驗證

用戶登陸 基於 lis 訪問 使用 start 加密和解密 ORC blog SSH 為 Secure Shell 的縮寫,由 IETF 的網絡小組(Network Working Group)所制定。 SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。