使用nonce鞏固介面簽名安全

前面我們有講過如何進行API的安全控制，其中包括資料加密，介面簽名等內容。詳細可以參考我下面兩篇文章：

–《前後端API互動如何保證資料安全性》

–《再談前後端API簽名安全？》

在簽名部分，通過時間戳的方式來判斷當前請求是否有效，目的是為了防止介面被多次使用。但是這樣並不能保證每次請求都是一次性的，今天給大家介紹下如何保證請求一次性？

首先我們來回顧一些時間戳判斷的原理：客戶端每次請求時，都需要進行簽名操作，簽名中會加上signTime引數(當前請求時間戳)。HTTP請求從發出到達伺服器的正常時間不會很長，當伺服器收到HTTP請求之後，首先進行簽名檢查，通過之後判斷時間戳與當前時間相比較，是否超過了一定的時間，這個時間我們可以自行決定要多長，比如1分鐘，2分鐘都可以，時間長點可以防止客戶端和伺服器時間不一致的問題，如果超過了則認為是非法的請求。

假設我們的請求有效期是1分鐘，如果黑客得到了我們的請求地址，在1分鐘之內是可以重複請求多次的，因為這種方式不能保證請求僅一次有效。

基於nonce的方式可以解決重複使用的問題，最開始知道nonce是在廣點通的介面中看到的，如下圖所示：

1.png

可以看到騰訊這邊的介面也是基於時間戳和nonce來控制的。

nonce是隨機字串，每次請求時都要保證不同，你可以用uuid，可以用別的演算法，也可以用隨機加時間戳等等，只要不重複就行。

在後端我們驗證的時候，將nonce引數儲存起來，至於是儲存在本地記憶體中，資料庫中，redis，布隆過濾器中這就看你自己的需求了。

處理HTTP請求時，首先判斷該請求的nonce引數是否在存在，如果存在則認為是非法請求。如果不存在則是合法請求，讓後將該nonce儲存起來，防止下次重複使用。

這種方式的弊端也很明顯，那就是nonce的儲存會越來越大，驗證nonce是否存在的時間會越來越長。

如何解決儲存問題？

可以用時間戳+nonce同時使用，相互配合，取長補短。

首先我們根據時間戳判斷是否超過了一定的時間範圍，如果超過了就直接拒絕，沒有超過繼續驗證nonce是否使用過。

nonce沒使用，儲存起來，記錄一個儲存時間，通過定時任務去清除超過了時間戳驗證的時間的nonce。這樣的話我們只需要儲存固定時間內的nonce資料，因為時間長的已經被時間戳的判斷給攔截了，nonce的驗證只需要驗證時間有效期內的即可。

虛擬碼如下：

// 1.1獲取簽名時間，跟當前時間做對比，判斷是否超出範圍
Long signTime = 1XXXXL;
Long curTime = System.currentTimeMillis();
if (curTime - signTime > 60000) {

    // 超出了

    return;

}

// 1.2獲取nonce判斷是否存在，以redis舉例

String nonce = "XXXXXX";
if (redisTemplate.hasKey(nonce)){

    //已經使用過了

} else {

    //沒有使用，儲存起來，設定過期時間為當前訪問時間+判斷請求過期的時間

    //這樣就不用定時任務去清除之前的nonce，利用redis自動清除

   redisTemplate.opsForValue().set(nonce, "", 1, TimeUnit.MINUTES);

}