。

如果有攻击者疯狂地请求这个接口#xff0c;那是很危险的。

一方面这可能会损害安全性#xff0c;另一方面耗尽服务器性能#xff0c;影响正常用户的使用。

…问题引入

100

个人同时调用接口。

如果有攻击者疯狂地请求这个接口那是很危险的。

一方面这可能会损害安全性另一方面耗尽服务器性能影响正常用户的使用。

因此我们必须为接口设置保护措施例如限制每个用户每秒只能调用十次接口即实施请求频次的限额控制。

所以我们必须知道谁在调用接口并且不能让无权限的人随意调用。

在我们之前开发后端时我们会进行一些权限检查。

例如当管理员执行删除操作时后端需要检查这个用户是否为管理员直接从后端的

session

中获取的。

但问题来了比如我是前端直接发起请求没有登录操作没有输入用户名和密码我怎么去调用呢

API

适用于无需保存登录态的场景。

只认签名不关注用户登录态为了更通用。

如何在后端实现签名认证

和用户名和密码类似不过每次调用接口都需要带上实现无状态的请求。

“无状态”指的是每个请求都是独立的服务器不会保存客户端的任何状态信息。

每次请求都包含所有必要的信息来完成该请求。

这种设计使得系统更易于扩展和管理。

accessKey

2secretKey密钥复杂、无序、无规律该参数不能放到请求头中参数

3用户请求参数参数

服务端用一模一样的参数和算法去生成签名只要和用户传的的一致就表示一致。

怎么防重放

签名认证是一个很灵活的设计具体要有哪些参数、参数名如何一定要根据场景来。

为什么需要两个

的人都可以无限制地调用这个接口。

这就好比为什么你在登录网站时需要输入密码而不是只输入用户名就可以了其实这两者的原理是一样的。

如果像

token

存在最大长度限制如果你传递的其他参数过多可能会导致关键数据被挤出。

PostMapping(/user)

request.getHeader(accessKey);//

从请求头中获取名为

request.getHeader(secretKey);//

accessKey

!secretKey.equals(abcdefgh)){//

抛出一个运行时异常表示权限不足throw

使用POST方法向服务器发送User对象并获取服务器返回的结果public

String

使用HttpRequest工具发起POST请求并获取服务器的响应HttpResponse

httpResponse

HttpRequest.post(http://localhost:8123/api/name/user)//

添加前面构造的请求头.addHeaders(getHeaderMap()).body(json)

执行请求//

打印服务器返回的状态码System.out.println(httpResponse.getStatus());//

result

打印服务器返回的结果System.out.println(result);//

result;}//

我们的请求有可能被人拦截我们将密码放在请求头中如果有中间人拦截到了你的请求他们就可以直接从请求头中获取你的密码然后使用你的密码发送请求。

密码绝对不能传递。

也就是说在向对方发送请求时密码绝对不能以明文的方式传递必须通过特殊的方式进行传递。

可以将用户传递的参数与该密钥拼接在一起然后使用单向签名算法进行加密。

第一种方式是通过加入一个随机数实现标准的签名认证。

每次请求时发送一个随机数给后端。

后端只接受并认可该随机数一次一旦随机数被使用过后端将不再接受相同的随机数。

这种方式解决了请求重放的问题因为即使对方使用之前的时间和随机数进行请求后端会认识到该请求已经被处理过不会再次处理。

然而这种方法需要后端额外开发来保存已使用的随机数。

并且如果接口的并发量很大每次请求都需要一个随机数那么可能会面临处理百万、千万甚至亿级别请求的情况。

因此除了使用随机数之外我们还需要其他机制来定期清理已使用的随机数。

第二种方式是加入一个时间戳timestamp。

每个请求在发送时携带一个时间戳并且后端会验证该时间戳是否在指定的时间范围内例如不超过10分钟或5分钟。

这可以防止对方使用昨天的请求在今天进行重放。

通过这种方式我们可以一定程度上控制随机数的过期时间。

因为后端需要同时验证这两个参数只要时间戳过期或随机数被使用过后端会拒绝该请求。

因此时间戳可以在一定程度上减轻后端保存随机数的负担。

通常情况下这两种方法可以相互配合使用。

因此在标准的签名认证算法中建议至少添加以下五个参数accessKey、secretKey、sign、nonce随机数、timestamp时间戳。

此外建议将用户请求的其他参数例如接口中的

name

还需要进行拼接我们传递的是用户的这些参数但其实没有必要传递那么多参数直接将

body

hashmap只要有一些共同的参数能让客户端和服务端之间保持一致即可)。

/***

Digester(DigestAlgorithm.SHA256);//

content

HashMap();hashMap.put(accessKey,

accessKey);//

生成随机数(生成一个包含100个随机数字的字符串)hashMap.put(nonce,

RandomUtil.randomNumbers(4));//

body);//

System.currentTimeMillis()返回当前时间的毫秒数。

通过除以1000可以将毫秒数转换为秒数以得到当前时间戳的秒级表示//

String.valueOf()方法用于将数值转换为字符串。

在这里将计算得到的时间戳以秒为单位转换为字符串hashMap.put(timestamp,

String.valueOf(System.currentTimeMillis()

1000));//

JSONUtil.toJsonStr(user);HttpResponse

httpResponse

HttpRequest.post(http://localhost:8123/api/name/user)//

添加请求头.addHeaders(getHeaderMap(json))//

设置请求体.body(json)//

打印响应状态码System.out.println(httpResponse.getStatus());//

打印响应体内容String

httpResponse.body();System.out.println(result);return

result;

request.getHeader(accessKey);String

nonce

request.getHeader(nonce);String

timestamp

request.getHeader(timestamp);String

sign

request.getHeader(secretKey);//

TODO

(!accessKey.equals(sujie)){throw

new

3.校验一下随机数,因为时间有限,就不带大家再到后端去存储了,后端存储用hashmap或redis都可以//

校验随机数,模拟一下,直接判断nonce是否大于10000if

10000)

user.getUsername();}整个签名认证算法的流程就是这样

需要强调的是API签名认证是一种非常灵活的设计具体需要哪些参数以及参数名的选择都应根据具体场景来确定。

尽量避免在前端进行签名认证而是由服务端来处理

userId