在Web 開發中,如何保證設計的介面安全性

2021-08-21 15:19:30 字數 1633 閱讀 6520

介面的安全性主要圍繞token、timestamp和sign三個機制展開設計,保證介面的資料不會被篡改和重複呼叫,下面具體來看:

token授權機制:使用者使用使用者名稱密碼登入後伺服器給客戶端返回乙個token(通常是uuid),並將token-userid以鍵值對的形式存放在快取伺服器中。服務端接收到請求後進行token驗證,如果token不存在,說明請求無效。token是客戶端訪問服務端的憑證

時間戳超時機制:使用者每次請求都帶上當前時間的時間戳timestamp,服務端接收到timestamp後跟當前時間進行比對,如果時間差大於一定時間(比如5分鐘),則認為該請求失效。時間戳超時機制是防禦dos攻擊的有效手段。

簽名機制:將token時間戳加上其他請求引數再用md5或sha-1演算法(可根據情況加點鹽)加密,加密後的資料就是本次請求的簽名sign,服務端接收到請求後以同樣的演算法得到簽名,並跟當前的簽名進行比對,如果不一樣,說明引數被更改過,直接返回錯誤標識。簽名機制保證了資料不會被篡改。

拒絕重複呼叫(非必須):客戶端第一次訪問時,將簽名sign存放到快取伺服器中,超時時間設定為跟時間戳的超時時間一致,二者時間一致可以保證無論在timestamp限定時間內還是外 url都只能訪問一次。如果有人使用同乙個url再次訪問,如果發現快取伺服器中已經存在了本次簽名,則拒絕服務。如果在快取中的簽名失效的情況下,有人使用同乙個url再次訪問,則會被時間戳超時機制攔截。這就是為什麼要求時間戳的超時時間要設定為跟時間戳的超時時間一致。拒絕重複呼叫機制確保url被別人截獲了也無法使用(如抓取資料)。

整個流程如下:

1、客戶端通過使用者名稱密碼登入伺服器並獲取token

2、客戶端生成時間戳timestamp,並將timestamp作為其中乙個引數

3、客戶端將所有的引數,包括token和timestamp按照自己的演算法進行排序加密得到簽名sign

4、將token、timestamp和sign作為請求時必須攜帶的引數加在每個請求的url後邊(http://url/request?token=123×tamp=123&sign=123123123)

5、服務端寫乙個過濾器對token、timestamp和sign進行驗證,只有在token有效、timestamp未超時、快取伺服器中不存在sign三種情況同時滿足,本次請求才有效

在以上三中機制的保護下,

如果有人劫持了請求,並對請求中的引數進行了修改,簽名就無法通過;

如果有人使用已經劫持的url進行dos攻擊,伺服器則會因為快取伺服器中已經存在簽名或時間戳超時而拒絕服務,所以dos攻擊也是不可能的;

如果簽名演算法和使用者名稱密碼都暴露了,那齊天大聖來了估計也不好使吧。。。。

最後說一句,所有的安全措施都用上的話有時候難免太過複雜,在實際專案中需要根據自身情況作出裁剪,比如可以只使用簽名機制就可以保證資訊不會被篡改,或者定向提供服務的時候只用token機制就可以了。如何裁剪,全看專案實際情況和對介面安全性的要求~

在Web開發中,如何實現會話的跟蹤?

a 隱藏表單域一般是在表單提交時在jsp中宣告乙個隱藏域,可攜帶資料到表單提交後的頁面。如下 b http是無狀態協議,cookie是客戶端儲存使用者會話資料,用於儲存使用者會話記錄。c 當客戶端瀏覽器禁用cookie時,只有採用url複寫的方式將sessionid攜帶在url的末尾來儲存會話記錄。...

繫泊系統的設計界 如何回饋設計界

我們都看到了完美渲染設計的例子,這些例子激起了我們的想象力,有時甚至使我們有些嫉妒。似乎有些設計師天生才華橫溢,能夠創造驚人的作品,幾乎沒有任何可見的掙扎。對於某些設計師來說,這是乙個靈感。但是,對於其他人 可能是我們大多數人 來說,這可能會有些令人沮喪。這些設計師是如何做到的 他們知道我們其他人不...

PHP在web開發中的操作流程

我們的瀏覽網行業就像我們現在的天氣一樣,是火辣辣的熱呀,也許你此時正在為你的夢想拼搏,也許你還在迷茫,但是,也許你所期望的就在你不遠的敵方,加油 今天我有感而生,想為大家介紹我們的php是如何在伺服器端進行互動的.先是乙個大致流程圖 畫工粗糙,下面我來為大家解釋一下這幅圖的含義 1.我們通過瀏覽器向...