再談前後端API簽名安全？

對於請求的加密也只做了POST請求的自動加密，今天接著上文來繼續介紹GET請求的安全性如何保證?

首先我們來看一個簡單的GET請求：

• http://cxytiandi.com/user?name=yinjihuan

首先很明顯的是我們可以看到name參數是明文的，如果對安全性要求很高，建議查詢也用POST請求，前面我們對所有POST請求的參數都做了加密操作。

無論是GET還是POST都可以做簽名

明文沒關係，關鍵是這個請求我複製到瀏覽器中打開，把name改成別的值，如果真的存在的話也是能返回結果的。問題就在這，參數被修改了，後端無法識別，這是第一個問題。

第二個問題是這個請求可以無限的使用，就是你明天去請求這個地址它還能返回結果，這個其實也需要控制下，當然控制的方式有很多種，今天我們會介紹一種比較簡單的方式來控制。

第一種方式

參數中加簽名，前後端約定一個key,將參數按照字母排序拼接成一個字元串，然後拼接上key,最後用MD5或者SHA進行加密，最後得到一個加密的簽名，作為參數傳到後端進行驗證。

比如：

name=yinjihuan&sign=MD5(name=yinjihuan+key)

後端我們可以統一在過濾器中進行驗證，取得參數sign的值，取得請求的所有參數，同時也按照前端生成sign的方式生成一個新的sign,對兩個sign進行比較，如果相等，就證明參數沒有被篡改。

為了防止一個請求被多次使用，我們通常會再sign中加上請求那刻的時間戳，伺服器這邊會判斷時間差，如果在10分鐘內可以讓它繼續執行，當然這個10分鐘你可以自己去調整，長一點主要是為了方式客戶端和伺服器時間不一樣的問題，當然這種情況不能完全避免。

第二種方式

第二種方式比較簡單，因為我們前面講過了請求的數據加解密，既然我們有了加密的key和加密演算法，其實完全可以將簽名的內容用我們的加密演算法進行加密，上面用的md5方式不是很安全，md5是可以被破解的。

同時因為我這邊用的axios來請求數據，可以使用請求攔截器，在請求之前統一對請求進行簽名操作，不用在每個地方單獨去處理。

在使用get請求時，我們用下面的方式：

axios.get("/user", {
params: {
ID: 12345
}
})
.then(function (response) {
console.log(response);
})
.catch(function (error) {
console.log(error);
});

然後在請求攔截器中我們可以通過params就可以獲取當前請求的所有參數信息，這邊我們不採用拼接的方式，直接往params中添加一個signTime(簽名時間)，然後用對整個params進行加密得到一個sign,通過請求頭傳遞到後台。

此時到後台的數據就是參數信息+簽名時間，比如：{name:"yjh",signTime:19210212121212}, 簽名就是{name:"yjh",signTime:19210212121212}加密的內容。

// 添加請求攔截器
axios.interceptors.request.use(function (config) {
// 在發送請求之前做些什麼
if (config.method == "get"){
var newParams = config.params;
console.log(newParams);
if (newParams == undefined) {
newParams = new Object();
}
newParams.signTime = new Date().getTime();
config.headers.sign = EncryptData(JSON.stringify(newParams));
console.log(JSON.stringify(config));
}
if (config.method == "post"){
var newParams = new Object();
newParams.signTime = new Date().getTime();
config.headers.sign = EncryptData(JSON.stringify(newParams));
}
return config;
}, function (error) {
// 對請求錯誤做些什麼
return Promise.reject(error);
});

後端可以在過濾器中進行簽名校驗，代碼如下：

/**
* 請求籤名驗證過濾器<br>
*
* 請求頭中獲取sign進行校驗，判斷合法性和是否過期<br>
*
* sign=加密({參數：值, 參數2：值2, signTime:簽名時間戳})
* @author yinjihuan
*
* @about http://cxytiandi.com/about
*
*/
public class SignAuthFilter implements Filter {

private EncryptProperties encryptProperties;

@Override
public void init(FilterConfig filterConfig) throws ServletException {
ServletContext context = filterConfig.getServletContext();
ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context);
encryptProperties = ctx.getBean(EncryptProperties.class);
}

@SuppressWarnings("unchecked")
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
if (req.getMethod().equals("OPTIONS")) {
chain.doFilter(request, response);
return;
}
resp.setCharacterEncoding("UTF-8");
String sign = req.getHeader("sign");
if (!StringUtils.hasText(sign)) {
PrintWriter print = resp.getWriter();
print.write("非法請求:缺少簽名信息");
return;
}
try {
String decryptBody = AesEncryptUtils.aesDecrypt(sign, encryptProperties.getKey());
Map<String, Object> signInfo = JsonUtils.getMapper().readValue(decryptBody, Map.class);
Long signTime = (Long) signInfo.get("signTime");

// 簽名時間和伺服器時間相差10分鐘以上則認為是過期請求，此時間可以配置
if ((System.currentTimeMillis() - signTime) > encryptProperties.getSignExpireTime() * 60000) {
PrintWriter print = resp.getWriter();
print.write("非法請求:已過期");
return;
}

// POST請求只處理時間
// GET請求處理參數和時間
if(req.getMethod().equals(HttpMethod.GET.name())) {
Set<String> paramsSet = signInfo.keySet();
for (String key : paramsSet) {
if (!"signTime".equals(key)) {
String signValue = signInfo.get(key).toString();
String reqValue = req.getParameter(key).toString();
if (!signValue.equals(reqValue)) {
PrintWriter print = resp.getWriter();
print.write("非法請求:參數被篡改");
return;
}
}
}
}
} catch (Exception e) {
PrintWriter print = resp.getWriter();
print.write("非法請求:" + e.getMessage());
return;
}
chain.doFilter(request, response);
}

@Override
public void destroy() {

}

}

首先我們會對簽名信息進行判斷，沒有則攔截掉，然後進行解密操作，得到簽名時間，判斷有效期，最後再根據解密得到的參數信息，循環去和當前請求中的參數進行比較，只要有一個對不上，那就是參數被篡改了，這邊我做的比較簡單，對值的判斷都轉成字元串來比較，不確定在一些特殊數據類型是否有問題，大家可以自己去改。

驗證的代碼我也封裝到了我的那個spring-boot-starter-encrypt中(歡迎Star)：https://github.com/yinjihuan/spring-boot-starter-encrypt

只需要配置過濾器即可：

/**
* 註冊簽名驗證過濾器
* @return
*/
@Bean
public FilterRegistrationBean signAuthFilter() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
registrationBean.setFilter(new SignAuthFilter());
registrationBean.setUrlPatterns(Arrays.asList("/rest/*"));
return registrationBean;
}

以上代碼大家不一定能用到，我個人認為沒必要複製我的代碼去實驗，理解思路才是你最佳的選擇。簡單分享，勿噴哈。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！