一)需求背景
現在app客戶端請求后台服務是非常常用的請求方式,在我們寫開放api接口時如何保證數據的安全,
我們先看看有哪些安全性的問題
請求來源(身份)是否合法?
請求參數被篡改?
請求的唯一性(不可復制)
二)為了保證數據在通信時的安全性,我們可以采用參數簽名的方式來進行相關驗證
案例:
我們通過給某 [移動端(app)] 寫 [后台接口(api)] 的案例進行分析:
客戶端: 以下簡稱app
后台接口:以下簡稱api
我們通過app查詢產品列表這個操作來進行分析:
app中點擊查詢按鈕==》調用api進行查詢==》返回查詢結果==>顯示在app中
一、不進行驗證的方式
api查詢接口:/getproducts?參數
app調用:http://api.chinasoft.com/getproducts?參數1=value1.......
如上,這種方式簡單粗暴,通過調用getproducts方法即可獲取產品列表信息了,但是 這樣的方式會存在很嚴重的安全性問題,
沒有進行任何的驗證,大家都可以通過這個方法獲取到產品列表,導致產品信息泄露。
那么,如何驗證調用者身份呢?如何防止參數被篡改呢?
二、MD5參數簽名的方式
我們對api查詢產品接口進行優化:
1.給app客戶端分配對應的key=1、secret秘鑰
2.Sign簽名,調用API 時需要對請求參數進行簽名驗證,簽名方式如下:
a. 按照請求參數名稱將所有請求參數按照字母先后順序排序得到:keyvaluekeyvalue...keyvalue
字符串如:將arong=1,mrong=2,crong=3 排序為:arong=1, crong=3,mrong=2 然后將參數名和參數值進行拼接
得到參數字符串:arong1crong3mrong2。
b. 將secret加在參數字符串的頭部后進行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign
新api接口代碼:
app調用:http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數1=value1&參數2=value2.......
注:secret 僅作加密使用, 為了保證數據安全請不要在請求參數中使用。
如上,優化后的請求多了key和sign參數,這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品數據。
這樣就解決了身份驗證和防止參數篡改問題,如果請求參數被人拿走,沒事,他們永遠也拿不到secret,因為secret是不傳遞的。
再也無法偽造合法的請求。
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35
客戶端的算法 要和 我們服務器端的算法是一致的
"a=1&b=hello&c=world&key=1"
和秘鑰進行拼接
secret=123456
"a=1&b=hello&c=world&123456" =》md5 加密 ===》字符串sign = BCC7C71CF93F9CDBDB88671B701D8A35
-----------------------------------
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=2&sign=BCC7C71CF93F9CDBDB88671B701D8A35
key去判斷 是否客戶端身份是合法
參數是否被篡改 服務器這邊 也去生成一個sign簽名,算法和客戶端一致
a=2&c=world&b=hello ==》"a=2&b=hello&c=world" ==》secret=123456==》 "a=2&b=hello&c=world&123456" ==》md5
===》服務器生成的sign ===》如果和客戶端傳過來的sign一致,就代表合法===》驗證參數是否被篡改
三、不可復制
第二種方案就夠了嗎?我們會發現,如果我獲取了你完整的鏈接,一直使用你的key和sign和一樣的參數不就可以正常獲取數據了,是的,僅僅是如上的優化是不夠的
請求的唯一性:
為了防止別人重復使用請求參數問題,我們需要保證請求的唯一性,就是對應請求只能使用一次,這樣就算別人拿走了請求的完整鏈接也是無效的
唯一性的實現:在如上的請求參數中,我們加入時間戳 timestamp(yyyyMMddHHmmss),同樣,時間戳作為請求參數之一,
也加入sign算法中進行加密。
新的api接口:
app調用:
http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35×tamp=201803261407&參數1=value1&參數2=value2.......
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35&time=20190827
time是客戶端發起請求的那一時刻,傳過來的
客戶端的算法 要和 我們服務器端的算法是一致的
"a=1&b=hello&c=world&time=20190827"
和秘鑰進行拼接
secret=123456
"a=1&b=hello&c=world&time=20190827&123456" =》md5 加密 ===》字符串sign= BCC7C71CF93F9CDBDB88671B701D8A35
---------------------------------
key=1 是否身份驗證合法
time=客戶端在調用這個接口那一刻傳的時間
服務器去處理這個接口請求的當前時間 相減,如果這個大於10s;這個鏈接應該是被人家截取
如果小於10s,表示正常請求
如上,我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求鏈接也是無效的。
Sign簽名安全性分析:
通過上面的案例,我們可以看出,安全的關鍵在於參與簽名的secret,整個過程中secret是不參與通信的,
所以只要保證secret不泄露,請求就不會被偽造。
總結
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造,保障通信的安全,這里使用的是MD5進行加密,
當然實際使用中大家可以根據實際需求進行自定義簽名算法,比如:RSA,SHA等。
-----------------------------------------
編輯nginx.conf的server部分
location /sign {
access_by_lua_file /usr/local/lua/access_by_sign.lua;
echo "sign驗證成功";
}
==============================編輯/usr/local/lua/access_by_sign.lua
--判斷table是否為空 local function isTableEmpty(t) return t == nil or next(t) == nil end --兩個table合並 local function union(table1,table2) for k,v in pairs(table2) do table1[k] = v end return table1 end --檢驗請求的sign簽名是否正確 --params:傳入的參數值組成的table --secret:項目secret,根據key找到secret local function signcheck(params,secret) --判斷參數是否為空,為空報異常 if isTableEmpty(params) then local mess = "參數為空" ngx.log(ngx.ERR, mess) return false,mess end if secret == nil then local mess="私鑰為空" ngx.log(ngx.ERR, mess) return false,mess end --平台分配給某客戶端類型的keyID local key = params["key"]; if key == nil then local mess = "key值為空" ngx.log(ngx.ERR, mess) return false,mess end --判斷是否有簽名參數 local sign = params["sign"] if sign == nil then local mess="簽名參數為空" ngx.log(ngx.ERR, mess) return false,mess end --是否存在時間戳的參數 local timestamp = params["time"] if timestamp == nil then local mess="時間戳參數為空" ngx.log(ngx.ERR, mess) return false,mess end --時間戳有沒有過期,10秒過期 local now_mill = ngx.now() * 1000--毫秒級 if now_mill - timestamp > 30000 then local mess="鏈接過期" ngx.log(ngx.ERR, mess) return false,mess end local keys, tmp = {}, {} --提出所有的鍵名並按字符順序排序 for k, _ in pairs(params) do if k ~= "sign" then keys[#keys+1] = k end end table.sort(keys) --根據排序好的鍵名依次讀取值並拼接字符串成key=value&key=value for _,k in pairs(keys) do if type(params[k]) == "string" or type(params[k]) == "number" then tmp[#tmp+1] = k .. "=" .. tostring(params[k]) end end --將salt添加到最后,計算正確的簽名sign值並與傳入的sign簽名對比, local signchar = table.concat(tmp, "&") .. "&" ..secret local rightsign = ngx.md5(signchar) if sign ~= rightsign then --如果簽名錯誤返回錯誤信息並記錄日志, --local mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..signchar local mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..table.concat(tmp, "&") ngx.log(ngx.ERR, mess) return false,mess end return true end local params = {} local get_args = ngx.req.get_uri_args(); ngx.req.read_body() local post_args = ngx.req.get_post_args(); union(params,get_args) union(params,post_args) --根據keyID到后台服務獲取secret local secret = "abc123" local checkResult,mess = signcheck(params,secret) if not checkResult then ngx.say(mess); return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403 end
java代碼,模仿請求
import java.io.IOException; import java.security.GeneralSecurityException; import java.security.MessageDigest; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import java.util.TreeMap; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class SignApplication { public static void main(String[] args) throws IOException { SpringApplication.run(SignApplication.class, args); HashMap<String,String> params = new HashMap<String,String>(); params.put("key", "1"); params.put("a", "1"); params.put("c", "w"); params.put("b", "2"); long time = new Date().getTime(); params.put("time", "" + time); System.out.println(time); String sign = getSignature(params,"123456"); System.out.println(sign); params.put("sign", sign); String resp = HttpUtil.doGet("http://10.11.0.215/sign",params); System.out.println(resp); } /** * 簽名生成算法 * @param HashMap<String,String> params 請求參數集,所有參數必須已轉換為字符串類型 * @param String secret 簽名密鑰 * @return 簽名 * @throws IOException */ public static String getSignature(HashMap<String,String> params, String secret) throws IOException { // 先將參數以其參數名的字典序升序進行排序 Map<String, String> sortedParams = new TreeMap<String, String>(params); Set<Entry<String, String>> entrys = sortedParams.entrySet(); // 遍歷排序后的字典,將所有參數按"key=value"格式拼接在一起 StringBuilder basestring = new StringBuilder(); for (Entry<String, String> param : entrys) { if(basestring.length() != 0){ basestring.append("&"); } basestring.append(param.getKey()).append("=").append(param.getValue()); } basestring.append("&"); basestring.append(secret); System.out.println("basestring="+basestring); // 使用MD5對待簽名串求簽 byte[] bytes = null; try { MessageDigest md5 = MessageDigest.getInstance("MD5"); bytes = md5.digest(basestring.toString().getBytes("UTF-8")); } catch (GeneralSecurityException ex) { throw new IOException(ex); } String strSign = new String(bytes); System.out.println("strSign="+strSign); // 將MD5輸出的二進制結果轉換為小寫的十六進制 StringBuilder sign = new StringBuilder(); for (int i = 0; i < bytes.length; i++) { String hex = Integer.toHexString(bytes[i] & 0xFF); if (hex.length() == 1) { sign.append("0"); } sign.append(hex); } return sign.toString(); } }
python代碼模仿請求
#coding=utf-8 import time import requests # 生成簽名的字符串 def getSignature(params, secret): # basestring=a=1&b=hello&c=world&key=1&time=1566877802288 ivlist = [] # 拼湊字符串 for i,v in params.items(): tmpstr=str(i)+"="+str(v) ivlist.append(tmpstr) ivlist.append(secret) basestr = "&".join(ivlist) print("basestr = %s" % basestr) # 由於MD5模塊在python3中被移除 # 在python3中使用hashlib模塊進行md5操作 import hashlib # 創建md5對象 m = hashlib.md5() # 此處必須encode,若寫法為m.update(str) 報錯為: Unicode-objects must be encoded before hashing # 因為python3里默認的str是unicode # 或者 b = bytes(str, encoding='utf-8'),作用相同,都是encode為bytes b = basestr.encode(encoding='utf-8') m.update(b) str_md5 = m.hexdigest() return str_md5 if __name__ == "__main__": # 拼湊訪問url params = {"a":22,"b":"hello","c":"wrold","key":1} time = int(round(time.time() * 1000)) params["time"] = time sinstr = getSignature(params, "abc123") print(sinstr) params["sign"] = sinstr url = "http://10.11.0.215/sign?a=1&b=hello&c=world&key=1&time={time}&sign={sign}".format(time = time, sign = sinstr) print("url = %s" % url) # 模擬正確的請求 res = requests.get("http://10.11.0.215/sign", params = params, timeout=10) res.encoding="utf-8" print(res.content)
