作者：傻姑不傻
鏈接：https://www.jianshu.com/p/70540596ca5b
來(lái)源：簡(jiǎn)書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請(qǐng)注明出處。

    前后端分離的開發(fā)方式，我們以接口為標(biāo)準(zhǔn)來(lái)進(jìn)行推動(dòng)，定義好接口，各自開發(fā)自己的功能，最后進(jìn)行聯(lián)調(diào)整合。無(wú)論是開發(fā)原生的APP還是webapp還是PC端的軟件,只要是前后端分離的模式，就避免不了調(diào)用后端提供的接口來(lái)進(jìn)行業(yè)務(wù)交互。

網(wǎng)頁(yè)或者app，只要抓下包就可以清楚的知道這個(gè)請(qǐng)求獲取到的數(shù)據(jù)，也可以偽造請(qǐng)求去獲取或攻擊服務(wù)器；也對(duì)爬蟲工程師來(lái)說(shuō)是一種福音，要抓你的數(shù)據(jù)簡(jiǎn)直輕而易舉。那我們?cè)趺慈ソ鉀Q這些問(wèn)題呢？

接口簽名

我們先考慮一下接口數(shù)據(jù)被偽造，以及接口被重復(fù)調(diào)用的問(wèn)題，要解決這個(gè)問(wèn)題我們就要用到接口簽名的方案，

簽名流程

簽名規(guī)則

1、線下分配appid和appsecret，針對(duì)不同的調(diào)用方分配不同的appid和appsecret

2、加入timestamp（時(shí)間戳），5分鐘內(nèi)數(shù)據(jù)有效

3、加入臨時(shí)流水號(hào) nonce（防止重復(fù)提交），至少為10位。針對(duì)查詢接口，流水號(hào)只用于日志落地，便于后期日志核查。針對(duì)辦理類接口需校驗(yàn)流水號(hào)在有效期內(nèi)的唯一性，以避免重復(fù)請(qǐng)求。

4、加入簽名字段signature，所有數(shù)據(jù)的簽名信息。

以上字段放在請(qǐng)求頭中。

簽名的生成

簽名signature字段生成規(guī)則

所有動(dòng)態(tài)參數(shù) = 請(qǐng)求頭部分 + 請(qǐng)求URL地址 + 請(qǐng)求Request參數(shù) + 請(qǐng)求Body

上面的動(dòng)態(tài)參數(shù)以key-value的格式存儲(chǔ)，并以key值正序排序，進(jìn)行拼接

最后拼接的字符串 在拼接appSecret

signature = DigestUtils.md5DigestAsHex(sortParamsMap + appSecret)

即拼接成一個(gè)字符串，然后做md5不可逆加密

拓展干貨閱讀：高并發(fā)等主流技術(shù)資料

請(qǐng)求頭部分

請(qǐng)求頭=“appId=xxxx&nonce=xxxx×tamp=xxxx&sign=xxx”

請(qǐng)求頭中的4個(gè)參數(shù)是必須要傳的，否則直接報(bào)異常

請(qǐng)求URL地址

這個(gè)就是請(qǐng)求接口的地址包含協(xié)議，如

https://mso.xxxx.com.cn/api/user

請(qǐng)求Request參數(shù)

即請(qǐng)求為Get方式的時(shí)候，獲取的傳入的參數(shù)

請(qǐng)求Body

即請(qǐng)求為Post時(shí)，請(qǐng)求體Body

從request inputstream中獲取保存為String形式

簽名算法實(shí)現(xiàn)

基本原理其實(shí)也比較簡(jiǎn)單，就是自定義filter，對(duì)每個(gè)請(qǐng)求進(jìn)行處理；整體流程如下

1）驗(yàn)證必須的頭部參數(shù)

2）獲取頭部參數(shù)，request參數(shù)，Url請(qǐng)求路徑，請(qǐng)求體Body，把這些值放入SortMap中進(jìn)行排序

3）對(duì)SortMap里面的值進(jìn)行拼接

4）對(duì)拼接的值進(jìn)行加密，生成sign

5）把生成的sign和前端傳入的sign進(jìn)行比較，如果不相同就返回錯(cuò)誤

我們來(lái)看一下代碼

以上是filter類，其中有個(gè)appSecret需要自己業(yè)務(wù)去獲取，它的作用主要是區(qū)分不同客戶端app。并且利用獲取到的appSecret參與到sign簽名，保證了客戶端的請(qǐng)求簽名是由我們后臺(tái)控制的，我們可以為不同的客戶端頒發(fā)不同的appSecret。

我們?cè)賮?lái)看看驗(yàn)證頭部參數(shù)

上圖其實(shí)就是驗(yàn)證是否傳入值；不過(guò)其實(shí)有個(gè)很重要的一點(diǎn)，就是對(duì)此請(qǐng)求進(jìn)行時(shí)間驗(yàn)證，如果大于10分鐘表示此鏈接已經(jīng)超時(shí)，防止別人來(lái)到這個(gè)鏈接去請(qǐng)求。這個(gè)就是防止盜鏈。

我們?cè)趤?lái)看看，如何獲取各個(gè)參數(shù)

上面我們獲取了各個(gè)參數(shù)，相對(duì)比較簡(jiǎn)單；我們?cè)趤?lái)看看生成sign，和驗(yàn)證sign

上面的流程中，會(huì)有個(gè)額外的安全處理，

• 防止盜鏈，我們可以讓鏈接有失效時(shí)間

• 利用nonce參數(shù)，防止重復(fù)提交

在簽名驗(yàn)證成功后，判斷是否重復(fù)提交；

原理就是結(jié)合redis，判斷是否已經(jīng)提交過(guò)

總結(jié)

    今天我們用簽名的方式，對(duì)我們對(duì)外提供的接口起到了保護(hù)作用；但這種保護(hù)僅僅做到了防止別人篡改請(qǐng)求，或者模擬請(qǐng)求。

但是還是缺少對(duì)數(shù)據(jù)自身的安全保護(hù)，即請(qǐng)求的參數(shù)和返回的數(shù)據(jù)都是有可能被別人攔截獲取的，而這些數(shù)據(jù)又是明文的，所以只要被攔截，就能獲得相應(yīng)的業(yè)務(wù)數(shù)據(jù)。

騰訊課堂

網(wǎng)易云課堂