AccessKey&SecretKey (開(kāi)放平臺(tái))
為開(kāi)發(fā)者分配AccessKey(開(kāi)發(fā)者標(biāo)識(shí)���,確保唯一)和SecretKey(用于接口加密�,確保不易被窮舉����,生成算法不易被猜測(cè))。 參數(shù)簽名 按照請(qǐng)求參數(shù)名的字母升序排列非空請(qǐng)求參數(shù)(包含AccessKey)����,使用URL鍵值對(duì)的格式(即key1=value1&key2=value2…)拼接成字符串stringA��; 在stringA最后拼接上Secretkey得到字符串stringSignTemp��; 對(duì)stringSignTemp進(jìn)行MD5運(yùn)算,并將得到的字符串所有字符轉(zhuǎn)換為大寫(xiě)�����,得到sign值�����。
請(qǐng)求攜帶參數(shù)AccessKey和Sign�����,只有擁有合法的身份AccessKey和正確的簽名Sign才能放行��。這樣就解決了身份驗(yàn)證和參數(shù)篡改問(wèn)題��,即使請(qǐng)求參數(shù)被劫持���,由于獲取不到SecretKey(僅作本地加密使用�,不參與網(wǎng)絡(luò)傳輸)���,無(wú)法偽造合法的請(qǐng)求�。 雖然解決了請(qǐng)求參數(shù)被篡改的隱患,但是還存在著重復(fù)使用請(qǐng)求參數(shù)偽造二次請(qǐng)求的隱患����。 timestamp+nonce方案 nonce指唯一的隨機(jī)字符串,用來(lái)標(biāo)識(shí)每個(gè)被簽名的請(qǐng)求��。通過(guò)為每個(gè)請(qǐng)求提供一個(gè)唯一的標(biāo)識(shí)符���,服務(wù)器能夠防止請(qǐng)求被多次使用(記錄所有用過(guò)的nonce以阻止它們被二次使用)��。 然而����,對(duì)服務(wù)器來(lái)說(shuō)永久存儲(chǔ)所有接收到的nonce的代價(jià)是非常大的�。可以使用timestamp來(lái)優(yōu)化nonce的存儲(chǔ)���。 假設(shè)允許客戶端和服務(wù)端最多能存在15分鐘的時(shí)間差�����,同時(shí)追蹤記錄在服務(wù)端的nonce集合����。當(dāng)有新的請(qǐng)求進(jìn)入時(shí),首先檢查攜帶的timestamp是否在15分鐘內(nèi)�����,如超出時(shí)間范圍��,則拒絕�����,然后查詢攜帶的nonce���,如存在已有集合,則拒絕��。否則���,記錄該nonce����,并刪除集合內(nèi)時(shí)間戳大于15分鐘的nonce(可以使用redis的expire��,新增nonce的同時(shí)設(shè)置它的超時(shí)失效時(shí)間為15分鐘)。 實(shí)現(xiàn)請(qǐng)求接口:http://api./test?name=hello&home=world&work=java 客戶端 生成當(dāng)前時(shí)間戳timestamp=now和唯一隨機(jī)字符串nonce=random 按照請(qǐng)求參數(shù)名的字母升序排列非空請(qǐng)求參數(shù)(包含AccessKey)
stringA='AccessKey=access&home=world&name=hello&work=java×tamp=now&nonce=random'; 拼接密鑰SecretKey
stringSignTemp='AccessKey=access&home=world&name=hello&work=java×tamp=now&nonce=random&SecretKey=secret'; MD5并轉(zhuǎn)換為大寫(xiě)
sign=MD5(stringSignTemp).toUpperCase(); 最終請(qǐng)求
http://api./test?name=hello&home=world&work=java×tamp=now&nonce=nonce&sign=sign;
服務(wù)端
在APP開(kāi)放API接口的設(shè)計(jì)中�����,由于大多數(shù)接口涉及到用戶的個(gè)人信息以及產(chǎn)品的敏感數(shù)據(jù)���,所以要對(duì)這些接口進(jìn)行身份驗(yàn)證����,為了安全起見(jiàn)讓用戶暴露的明文密碼次數(shù)越少越好�����,然而客戶端與服務(wù)器的交互在請(qǐng)求之間是無(wú)狀態(tài)的��,也就是說(shuō)�,當(dāng)涉及到用戶狀態(tài)時(shí),每次請(qǐng)求都要帶上身份驗(yàn)證信息�����。 Token身份驗(yàn)證用戶登錄向服務(wù)器提供認(rèn)證信息(如賬號(hào)和密碼)�,服務(wù)器驗(yàn)證成功后返回Token給客戶端; 客戶端將Token保存在本地,后續(xù)發(fā)起請(qǐng)求時(shí)�����,攜帶此Token�; 服務(wù)器檢查T(mén)oken的有效性,有效則放行��,無(wú)效(Token錯(cuò)誤或過(guò)期)則拒絕�����。
安全隱患:Token被劫持��,偽造請(qǐng)求和篡改參數(shù)�。
Token+AppKey簽名驗(yàn)證 與上面開(kāi)發(fā)平臺(tái)的驗(yàn)證方式類似��,為客戶端分配AppKey(密鑰��,用于接口加密����,不參與傳輸),將AppKey和所有請(qǐng)求參數(shù)組合成源串�����,根據(jù)簽名算法生成簽名值,發(fā)送請(qǐng)求時(shí)將簽名值一起發(fā)送給服務(wù)器驗(yàn)證���。這樣�����,即使Token被劫持���,對(duì)方不知道AppKey和簽名算法,就無(wú)法偽造請(qǐng)求和篡改參數(shù)����。再結(jié)合上述的重發(fā)攻擊解決方案,即使請(qǐng)求參數(shù)被劫持也無(wú)法偽造二次重復(fù)請(qǐng)求�。 實(shí)現(xiàn)登陸和退出請(qǐng)求
后續(xù)請(qǐng)求客戶端
和上述開(kāi)放平臺(tái)的客戶端行為類似,把AccessKey改為token即可����。 服務(wù)端
blog.csdn.net/qq_18495465/article/details/79248608
|
