一.AccessKey&SecretKey (開放平台)
1、請求身份
為開發者分配AccessKey(開發者標識,確保唯一)和SecretKey(用於接口加密,確保不易被窮舉,生成算法不易被猜測)。
2、防止篡改
參數簽名:
(1)按照請求參數名的字母升序排列非空請求參數(包含AccessKey),使用URL鍵值對的格式(即key1=value1&key2=value2…)拼接成字符串stringA;
(2)在stringA最后拼接上Secretkey得到字符串stringSignTemp;
(3)對stringSignTemp進行MD5運算,並將得到的字符串所有字符轉換為大寫,得到sign值。
請求攜帶參數AccessKey和Sign,只有擁有合法的身份AccessKey和正確的簽名Sign才能放行。這樣就解決了身份驗證和參數篡改問題,
即使請求參數被劫持,由於獲取不到SecretKey(僅作本地加密使用,不參與網絡傳輸),無法偽造合法的請求。
3、重放攻擊
雖然解決了請求參數被篡改的隱患,但是還存在着重復使用請求參數偽造二次請求的隱患。
timestamp+nonce方案:
nonce指唯一的隨機字符串,用來標識每個被簽名的請求。通過為每個請求提供一個唯一的標識符,
服務器能夠防止請求被多次使用(記錄所有用過的nonce以阻止它們被二次使用)。
然而,對服務器來說永久存儲所有接收到的nonce的代價是非常大的。可以使用timestamp來優化nonce的存儲。
假設允許客戶端和服務端最多能存在15分鍾的時間差,同時追蹤記錄在服務端的nonce集合。當有新的請求進入時,
首先檢查攜帶的timestamp是否在15分鍾內,如超出時間范圍,則拒絕,然后查詢攜帶的nonce,如存在已有集合,則拒絕。
否則,記錄該nonce,並刪除集合內時間戳大於15分鍾的nonce(可以使用redis的expire,新增nonce的同時設置它的超時失效時間為15分鍾)。
4、實現
請求接口:http://api.test.com/test?name=hello&home=world&work=java
客戶端:
(1)生成當前時間戳timestamp=now和唯一隨機字符串nonce=random;
(2)按照請求參數名的字母升序排列非空請求參數(包含AccessKey);
stringA="AccessKey=access&home=world&name=hello&work=java×tamp=now&nonce=random";
(3)拼接密鑰SecretKey
stringSignTemp="AccessKey=access&home=world&name=hello&work=java×tamp=now&nonce=random&SecretKey=secret";
(4)MD5並轉換為大寫
sign=MD5(stringSignTemp).toUpperCase();
(5)最終請求
http://api.test.com/test?name=hello&home=world&work=java×tamp=now&nonce=nonce&sign=sign;
服務端:省略
二.Token&AppKey(APP)
在APP開放API接口的設計中,由於大多數接口涉及到用戶的個人信息以及產品的敏感數據,
所以要對這些接口進行身份驗證,為了安全起見讓用戶暴露的明文密碼次數越少越好,
然而客戶端與服務器的交互在請求之間是無狀態的,也就是說,當涉及到用戶狀態時,每次請求都要帶上身份驗證信息。
1、Token身份驗證
(1)用戶登錄向服務器提供認證信息(如賬號和密碼),服務器驗證成功后返回Token給客戶端;
(2)客戶端將Token保存在本地,后續發起請求時,攜帶此Token;
(3)服務器檢查Token的有效性,有效則放行,無效(Token錯誤或過期)則拒絕。
安全隱患:Token被劫持,偽造請求和篡改參數。
2、Token+AppKey簽名驗證
與上面開發平台的驗證方式類似,為客戶端分配AppKey(密鑰,用於接口加密,不參與傳輸),
將AppKey和所有請求參數組合成源串,根據簽名算法生成簽名值,發送請求時將簽名值一起發送給服務器驗證。
這樣,即使Token被劫持,對方不知道AppKey和簽名算法,就無法偽造請求和篡改參數。
再結合上述的重發攻擊解決方案,即使請求參數被劫持也無法偽造二次重復請求。
3、實現:省略