再談前後端API簽名安全?

猿天地發表於2018-10-22

上次《前後端API互動如何保證資料安全性?》文章中,我們介紹瞭如何在Spring Boot框架中去統一處理資料的加解密。對於請求的加密也只做了POST請求的自動加密,今天接著上文來繼續介紹GET請求的安全性如何保證?

首先我們來看一個簡單的GET請求:

cxytiandi.com/user?name=y…

首先很明顯的是我們可以看到name引數是明文的,如果對安全性要求很高,建議查詢也用POST請求,前面我們對所有POST請求的引數都做了加密操作。

無論是GET還是POST都可以做簽名

明文沒關係,關鍵是這個請求我複製到瀏覽器中開啟,把name改成別的值,如果真的存在的話也是能返回結果的。問題就在這,引數被修改了,後端無法識別,這是第一個問題。

第二個問題是這個請求可以無限的使用,就是你明天去請求這個地址它還能返回結果,這個其實也需要控制下,當然控制的方式有很多種,今天我們會介紹一種比較簡單的方式來控制。

第一種方式

引數中加簽名,前後端約定一個key,將引數按照字母排序拼接成一個字串,然後拼接上key,最後用MD5或者SHA進行加密,最後得到一個加密的簽名,作為引數傳到後端進行驗證。

比如:

name=yinjihuan&sign=MD5(name=yinjihuan+key)

後端我們可以統一在過濾器中進行驗證,取得引數sign的值,取得請求的所有引數,同時也按照前端生成sign的方式生成一個新的sign,對兩個sign進行比較,如果相等,就證明引數沒有被篡改。

為了防止一個請求被多次使用,我們通常會再sign中加上請求那刻的時間戳,伺服器這邊會判斷時間差,如果在10分鐘內可以讓它繼續執行,當然這個10分鐘你可以自己去調整,長一點主要是為了方式客戶端和伺服器時間不一樣的問題,當然這種情況不能完全避免。

第二種方式

第二種方式比較簡單,因為我們前面講過了請求的資料加解密,既然我們有了加密的key和加密演算法,其實完全可以將簽名的內容用我們的加密演算法進行加密,上面用的md5方式不是很安全,md5是可以被破解的。

同時因為我這邊用的axios來請求資料,可以使用請求攔截器,在請求之前統一對請求進行簽名操作,不用在每個地方單獨去處理。

在使用get請求時,我們用下面的方式:

axios.get('/user', {
    params: {
      ID: 12345
    }
})
.then(function (response) {
    console.log(response);
  })
 .catch(function (error) {
    console.log(error);
});
複製程式碼

然後在請求攔截器中我們可以通過params就可以獲取當前請求的所有引數資訊,這邊我們不採用拼接的方式,直接往params中新增一個signTime(簽名時間),然後用對整個params進行加密得到一個sign,通過請求頭傳遞到後臺。

此時到後臺的資料就是引數資訊+簽名時間,比如:{name:"yjh",signTime:19210212121212}, 簽名就是{name:"yjh",signTime:19210212121212}加密的內容。

// 新增請求攔截器
axios.interceptors.request.use(function (config) {
     // 在傳送請求之前做些什麼
    if (config.method == "get"){
	   var newParams = config.params;
	   console.log(newParams);
	   if (newParams == undefined) {
		   newParams = new Object();
	   }
	   newParams.signTime = new Date().getTime();
	   config.headers.sign = EncryptData(JSON.stringify(newParams));
	   console.log(JSON.stringify(config));
    }
    if (config.method == "post"){
	   var newParams = new Object();
	   newParams.signTime = new Date().getTime();
	   config.headers.sign = EncryptData(JSON.stringify(newParams));
    }
    return config;
  }, function (error) {
    // 對請求錯誤做些什麼
    return Promise.reject(error);
 });
複製程式碼

後端可以在過濾器中進行簽名校驗,程式碼如下:

/**
 * 請求籤名驗證過濾器<br>
 * 
 * 請求頭中獲取sign進行校驗,判斷合法性和是否過期<br>
 * 
 * sign=加密({引數:值, 引數2:值2, signTime:簽名時間戳})
 * @author yinjihuan
 * 
 * @about http://cxytiandi.com/about
 *
 */
public class SignAuthFilter implements Filter {

	private EncryptProperties encryptProperties;
	
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		ServletContext context = filterConfig.getServletContext();  
        ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context);
        encryptProperties = ctx.getBean(EncryptProperties.class);
	}

	@SuppressWarnings("unchecked")
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		if (req.getMethod().equals("OPTIONS")) {
			chain.doFilter(request, response);
			return;
		}
		resp.setCharacterEncoding("UTF-8");
		String sign = req.getHeader("sign");
		if (!StringUtils.hasText(sign)) {
			PrintWriter print = resp.getWriter();
			print.write("非法請求:缺少簽名資訊");
			return;
		}
		try {
			String decryptBody = AesEncryptUtils.aesDecrypt(sign, encryptProperties.getKey());
			Map<String, Object> signInfo = JsonUtils.getMapper().readValue(decryptBody, Map.class);
			Long signTime = (Long) signInfo.get("signTime");
			
			// 簽名時間和伺服器時間相差10分鐘以上則認為是過期請求,此時間可以配置
			if ((System.currentTimeMillis() - signTime) > encryptProperties.getSignExpireTime() * 60000) {
				PrintWriter print = resp.getWriter();
				print.write("非法請求:已過期");
				return;
			}
			
			// POST請求只處理時間
			// GET請求處理引數和時間
			if(req.getMethod().equals(HttpMethod.GET.name())) {
				Set<String> paramsSet = signInfo.keySet();
				for (String key : paramsSet) {
					if (!"signTime".equals(key)) {
						String signValue = signInfo.get(key).toString();
						String reqValue = req.getParameter(key).toString();
						if (!signValue.equals(reqValue)) {
							PrintWriter print = resp.getWriter();
							print.write("非法請求:引數被篡改");
							return;
						}
					}
				}
			}
		} catch (Exception e) {
			PrintWriter print = resp.getWriter();
			print.write("非法請求:" + e.getMessage());
			return;
		}
		chain.doFilter(request, response);
	}

	@Override
	public void destroy() {
		
	}
	
}
複製程式碼

首先我們會對簽名資訊進行判斷,沒有則攔截掉,然後進行解密操作,得到簽名時間,判斷有效期,最後再根據解密得到的引數資訊,迴圈去和當前請求中的引數進行比較,只要有一個對不上,那就是引數被篡改了,這邊我做的比較簡單,對值的判斷都轉成字串來比較,不確定在一些特殊資料型別是否有問題,大家可以自己去改。

驗證的程式碼我也封裝到了我的那個spring-boot-starter-encrypt中(歡迎Star):github.com/yinjihuan/s…

只需要配置過濾器即可:

/**
 * 註冊簽名驗證過濾器
 * @return
 */
@Bean  
public FilterRegistrationBean signAuthFilter() {  
    FilterRegistrationBean registrationBean = new FilterRegistrationBean();  
    registrationBean.setFilter(new SignAuthFilter());  
    registrationBean.setUrlPatterns(Arrays.asList("/rest/*"));  
    return registrationBean;  
}
複製程式碼

以上程式碼大家不一定能用到,我個人認為沒必要複製我的程式碼去實驗,理解思路才是你最佳的選擇。簡單分享,勿噴哈。。。。。。。。。。。

《Spring Boot + Vue前後端分離實戰》 帶你遨遊前後端分離的海洋。

猿天地

相關文章