openresty开发系列39--nginx+lua实现接口签名安全认证
一)需求背景
現(xiàn)在app客戶端請(qǐng)求后臺(tái)服務(wù)是非常常用的請(qǐng)求方式,在我們寫(xiě)開(kāi)放api接口時(shí)如何保證數(shù)據(jù)的安全,
我們先看看有哪些安全性的問(wèn)題
請(qǐng)求來(lái)源(身份)是否合法?
請(qǐng)求參數(shù)被篡改?
請(qǐng)求的唯一性(不可復(fù)制)
二)為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證
案例:
我們通過(guò)給某 [移動(dòng)端(app)] 寫(xiě) [后臺(tái)接口(api)] 的案例進(jìn)行分析:??? ?
客戶端: 以下簡(jiǎn)稱app
后臺(tái)接口:以下簡(jiǎn)稱api
我們通過(guò)app查詢產(chǎn)品列表這個(gè)操作來(lái)進(jìn)行分析:
app中點(diǎn)擊查詢按鈕==》調(diào)用api進(jìn)行查詢==》返回查詢結(jié)果==>顯示在app中
一、不進(jìn)行驗(yàn)證的方式
api查詢接口:/getproducts?參數(shù)
app調(diào)用:http://api.chinasoft.com/getproducts?參數(shù)1=value1.......
如上,這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用getproducts方法即可獲取產(chǎn)品列表信息了,但是 這樣的方式會(huì)存在很?chē)?yán)重的安全性問(wèn)題,
沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到產(chǎn)品列表,導(dǎo)致產(chǎn)品信息泄露。
那么,如何驗(yàn)證調(diào)用者身份呢?如何防止參數(shù)被篡改呢?
二、MD5參數(shù)簽名的方式
我們對(duì)api查詢產(chǎn)品接口進(jìn)行優(yōu)化:
1.給app客戶端分配對(duì)應(yīng)的key=1、secret秘鑰
2.Sign簽名,調(diào)用API 時(shí)需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:
?? a. 按照請(qǐng)求參數(shù)名稱將所有請(qǐng)求參數(shù)按照字母先后順序排序得到:keyvaluekeyvalue...keyvalue ?
?? 字符串如:將arong=1,mrong=2,crong=3 排序?yàn)?#xff1a;arong=1, crong=3,mrong=2? 然后將參數(shù)名和參數(shù)值進(jìn)行拼接
?? 得到參數(shù)字符串:arong1crong3mrong2。
?? b. 將secret加在參數(shù)字符串的頭部后進(jìn)行MD5加密 ,加密后的字符串需大寫(xiě)。即得到簽名Sign
新api接口代碼:
app調(diào)用:http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數(shù)1=value1&參數(shù)2=value2.......
注:secret 僅作加密使用, 為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。
如上,優(yōu)化后的請(qǐng)求多了key和sign參數(shù),這樣請(qǐng)求的時(shí)候就需要合法的key和正確簽名sign才可以獲取產(chǎn)品數(shù)據(jù)。
這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。
再也無(wú)法偽造合法的請(qǐng)求。
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35
客戶端的算法 要和 我們服務(wù)器端的算法是一致的
"a=1&b=hello&c=world&key=1"
和秘鑰進(jìn)行拼接
secret=123456
"a=1&b=hello&c=world&123456"? =》md5 加密?? ===》字符串sign = BCC7C71CF93F9CDBDB88671B701D8A35
-----------------------------------
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=2&sign=BCC7C71CF93F9CDBDB88671B701D8A35
key去判斷 是否客戶端身份是合法
參數(shù)是否被篡改?? 服務(wù)器這邊 也去生成一個(gè)sign簽名,算法和客戶端一致
a=2&c=world&b=hello? ==》"a=2&b=hello&c=world" ==》secret=123456==》 "a=2&b=hello&c=world&123456" ==》md5
===》服務(wù)器生成的sign ===》如果和客戶端傳過(guò)來(lái)的sign一致,就代表合法===》驗(yàn)證參數(shù)是否被篡改
三、不可復(fù)制
第二種方案就夠了嗎?我們會(huì)發(fā)現(xiàn),如果我獲取了你完整的鏈接,一直使用你的key和sign和一樣的參數(shù)不就可以正常獲取數(shù)據(jù)了,是的,僅僅是如上的優(yōu)化是不夠的
請(qǐng)求的唯一性:
為了防止別人重復(fù)使用請(qǐng)求參數(shù)問(wèn)題,我們需要保證請(qǐng)求的唯一性,就是對(duì)應(yīng)請(qǐng)求只能使用一次,這樣就算別人拿走了請(qǐng)求的完整鏈接也是無(wú)效的
唯一性的實(shí)現(xiàn):在如上的請(qǐng)求參數(shù)中,我們加入時(shí)間戳 timestamp(yyyyMMddHHmmss),同樣,時(shí)間戳作為請(qǐng)求參數(shù)之一,
也加入sign算法中進(jìn)行加密。
新的api接口:
app調(diào)用:
http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35×tamp=201803261407&參數(shù)1=value1&參數(shù)2=value2.......
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35&time=20190827
time是客戶端發(fā)起請(qǐng)求的那一時(shí)刻,傳過(guò)來(lái)的
客戶端的算法 要和 我們服務(wù)器端的算法是一致的
"a=1&b=hello&c=world&time=20190827"
和秘鑰進(jìn)行拼接
secret=123456
"a=1&b=hello&c=world&time=20190827&123456"? =》md5 加密?? ===》字符串sign= BCC7C71CF93F9CDBDB88671B701D8A35
---------------------------------
key=1 是否身份驗(yàn)證合法
time=客戶端在調(diào)用這個(gè)接口那一刻傳的時(shí)間
服務(wù)器去處理這個(gè)接口請(qǐng)求的當(dāng)前時(shí)間? 相減,如果這個(gè)大于10s;這個(gè)鏈接應(yīng)該是被人家截取
如果小于10s,表示正常請(qǐng)求
如上,我們通過(guò)timestamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。
Sign簽名安全性分析:
通過(guò)上面的案例,我們可以看出,安全的關(guān)鍵在于參與簽名的secret,整個(gè)過(guò)程中secret是不參與通信的,
所以只要保證secret不泄露,請(qǐng)求就不會(huì)被偽造。
總結(jié)
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造,保障通信的安全,這里使用的是MD5進(jìn)行加密,
當(dāng)然實(shí)際使用中大家可以根據(jù)實(shí)際需求進(jìn)行自定義簽名算法,比如:RSA,SHA等。
-----------------------------------------
編輯nginx.conf的server部分
location /sign {
?? ?access_by_lua_file /usr/local/lua/access_by_sign.lua;
?? ?echo "sign驗(yàn)證成功";
}
==============================編輯/usr/local/lua/access_by_sign.lua
java代碼,模仿請(qǐng)求
import java.io.IOException; import java.security.GeneralSecurityException; import java.security.MessageDigest; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import java.util.TreeMap;import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication public class SignApplication {public static void main(String[] args) throws IOException {SpringApplication.run(SignApplication.class, args);HashMap<String,String> params = new HashMap<String,String>();params.put("key", "1");params.put("a", "1");params.put("c", "w");params.put("b", "2");long time = new Date().getTime();params.put("time", "" + time);System.out.println(time);String sign = getSignature(params,"123456");System.out.println(sign);params.put("sign", sign);String resp = HttpUtil.doGet("http://10.11.0.215/sign",params);System.out.println(resp);}/*** 簽名生成算法* @param HashMap<String,String> params 請(qǐng)求參數(shù)集,所有參數(shù)必須已轉(zhuǎn)換為字符串類型* @param String secret 簽名密鑰* @return 簽名* @throws IOException*/public static String getSignature(HashMap<String,String> params, String secret) throws IOException{// 先將參數(shù)以其參數(shù)名的字典序升序進(jìn)行排序Map<String, String> sortedParams = new TreeMap<String, String>(params);Set<Entry<String, String>> entrys = sortedParams.entrySet();// 遍歷排序后的字典,將所有參數(shù)按"key=value"格式拼接在一起StringBuilder basestring = new StringBuilder();for (Entry<String, String> param : entrys) {if(basestring.length() != 0){basestring.append("&");}basestring.append(param.getKey()).append("=").append(param.getValue());}basestring.append("&");basestring.append(secret);System.out.println("basestring="+basestring);// 使用MD5對(duì)待簽名串求簽byte[] bytes = null;try {MessageDigest md5 = MessageDigest.getInstance("MD5");bytes = md5.digest(basestring.toString().getBytes("UTF-8"));} catch (GeneralSecurityException ex) {throw new IOException(ex);}String strSign = new String(bytes);System.out.println("strSign="+strSign);// 將MD5輸出的二進(jìn)制結(jié)果轉(zhuǎn)換為小寫(xiě)的十六進(jìn)制StringBuilder sign = new StringBuilder();for (int i = 0; i < bytes.length; i++) {String hex = Integer.toHexString(bytes[i] & 0xFF);if (hex.length() == 1) {sign.append("0");}sign.append(hex);}return sign.toString();} }python代碼模仿請(qǐng)求
#coding=utf-8 import time import requests# 生成簽名的字符串 def getSignature(params, secret):# basestring=a=1&b=hello&c=world&key=1&time=1566877802288ivlist = []# 拼湊字符串for i,v in params.items():tmpstr=str(i)+"="+str(v)ivlist.append(tmpstr)ivlist.append(secret)basestr = "&".join(ivlist)print("basestr = %s" % basestr)# 由于MD5模塊在python3中被移除# 在python3中使用hashlib模塊進(jìn)行md5操作import hashlib# 創(chuàng)建md5對(duì)象m = hashlib.md5()# 此處必須encode,若寫(xiě)法為m.update(str) 報(bào)錯(cuò)為: Unicode-objects must be encoded before hashing# 因?yàn)閜ython3里默認(rèn)的str是unicode# 或者 b = bytes(str, encoding='utf-8'),作用相同,都是encode為bytesb = basestr.encode(encoding='utf-8')m.update(b)str_md5 = m.hexdigest()return str_md5if __name__ == "__main__":# 拼湊訪問(wèn)urlparams = {"a":22,"b":"hello","c":"wrold","key":1}time = int(round(time.time() * 1000))params["time"] = timesinstr = getSignature(params, "abc123")print(sinstr)params["sign"] = sinstrurl = "http://10.11.0.215/sign?a=1&b=hello&c=world&key=1&time={time}&sign={sign}".format(time = time, sign = sinstr)print("url = %s" % url)# 模擬正確的請(qǐng)求res = requests.get("http://10.11.0.215/sign", params = params, timeout=10)res.encoding="utf-8"print(res.content)?
轉(zhuǎn)載于:https://www.cnblogs.com/reblue520/p/11418589.html
總結(jié)
以上是生活随笔為你收集整理的openresty开发系列39--nginx+lua实现接口签名安全认证的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: openresty开发系列38--通过L
- 下一篇: Go Map