SpringBoot 如何保證介面安全？老鳥們都是這麼玩的！_飄渺Jam

大家好，我是飄渺。今天給大家帶來SpringBoot老鳥系列的第11篇，如何保證介面安全！

為什麼要保證介面安全

對於網際網路來說，只要你係統的介面暴露在外網，就避免不了介面安全問題。如果你的介面在外網裸奔，只要讓黑客知道介面的地址和引數就可以呼叫，那簡直就是災難。

舉個例子：你的網站使用者註冊的時候，需要填寫手機號，傳送手機驗證碼，如果這個傳送驗證碼的介面沒有經過特殊安全處理，那這個簡訊介面早就被人盜刷不知道浪費多少錢了。

那如何保證介面安全呢？

一般來說，暴露在外網的api介面需要做到防篡改和防重放才能稱之為安全的介面。

防篡改

我們知道http 是一種無狀態的協議，服務端並不知道客戶端傳送的請求是否合法，也並不知道請求中的引數是否正確。

舉個例子, 現在有個充值的介面，呼叫後可以給使用者增加對應的餘額。

http://localhost/api/user/recharge?user_id=1001&amount=10

如果非法使用者通過抓包獲取到介面引數後，修改user_id 或 amount的值就可以實現給任意賬戶新增餘額的目的。

如何解決

採用https協議可以將傳輸的明文進行加密，但是黑客仍然可以截獲傳輸的資料包，進一步偽造請求進行重放攻擊。如果黑客使用特殊手段讓請求方裝置使用了偽造的證書進行通訊，那麼https加密的內容也會被解密。

一般的做法有2種：

採用https方式把介面的資料進行加密傳輸，即便是被黑客破解，黑客也花費大量的時間和精力去破解。
介面後臺對介面的請求引數進行驗證，防止被黑客篡改；

步驟1：客戶端使用約定好的祕鑰對傳輸的引數進行加密，得到簽名值sign1，並且將簽名值也放入請求的引數中，傳送請求給服務端
步驟2：服務端接收到客戶端的請求，然後使用約定好的祕鑰對請求的引數再次進行簽名，得到簽名值sign2。
步驟3：服務端比對sign1和sign2的值，如果不一致，就認定為被篡改，非法請求。

防重放

防重放也叫防複用。簡單來說就是我獲取到這個請求的資訊之後什麼也不改,，直接拿著介面的引數去 重複請求這個充值的介面。此時我的請求是合法的, 因為所有引數都是跟合法請求一模一樣的。重放攻擊會造成兩種後果：

針對插入資料庫介面：重放攻擊，會出現大量重複資料，甚至垃圾資料會把資料庫撐爆。
針對查詢的介面：黑客一般是重點攻擊慢查詢介面，例如一個慢查詢介面1s，只要黑客發起重放攻擊，就必然造成系統被拖垮，資料庫查詢被阻塞死。

對於重放攻擊一般有兩種做法：

基於timestamp的方案

每次HTTP請求，都需要加上timestamp引數，然後把timestamp和其他引數一起進行數字簽名。因為一次正常的HTTP請求，從發出到達伺服器一般都不會超過60s，所以伺服器收到HTTP請求之後，首先判斷時間戳引數與當前時間比較，是否超過了60s，如果超過了則認為是非法請求。

一般情況下，黑客從抓包重放請求耗時遠遠超過了60s，所以此時請求中的timestamp引數已經失效了。如果黑客修改timestamp引數為當前的時間戳，則sign1引數對應的數字簽名就會失效，因為黑客不知道簽名祕鑰，沒有辦法生成新的數字簽名。

但是這種方式的漏洞也是顯而易見，如果在60s之內進行重放攻擊，那就沒辦法了，所以這種方式不能保證請求僅一次有效。

老鳥們一般會採取下面這種方案，既可以解決介面重放問題，又可以解決一次請求有效的問題。

基於nonce + timestamp 的方案

nonce的意思是僅一次有效的隨機字串，要求每次請求時該引數要保證不同。實際使用使用者資訊+時間戳+隨機數等資訊做個雜湊之後，作為nonce引數。

此時服務端的處理流程如下：

去 redis 中查詢是否有 key 為 nonce:{nonce} 的 string
如果沒有，則建立這個 key，把這個 key 失效的時間和驗證 timestamp 失效的時間一致，比如是 60s。
如果有，說明這個 key 在 60s 內已經被使用了，那麼這個請求就可以判斷為重放請求。

這種方案nonce和timestamp引數都作為簽名的一部分傳到後端，基於timestamp方案可以讓黑客只能在60s內進行重放攻擊，加上nonce隨機數以後可以保證介面只能被呼叫一次，可以很好的解決重放攻擊問題。

程式碼實現

接下來以SpringBoot專案為例看看如何實現介面的防篡改和防重放功能。

1、構建請求頭物件

@Data @Builder public class RequestHeader { private String sign ; private Long timestamp ; private String nonce; }

2、工具類從HttpServletRequest獲取請求引數

@Slf4j @UtilityClass public class HttpDataUtil { /** * post請求處理：獲取 Body 引數，轉換為SortedMap * * @param request */ public SortedMap<String, String> getBodyParams(final HttpServletRequest request) throws IOException { byte[] requestBody = StreamUtils.copyToByteArray(request.getInputStream()); String body = new String(requestBody); return JsonUtil.json2Object(body, SortedMap.class); } /** * get請求處理：將URL請求引數轉換成SortedMap */ public static SortedMap<String, String> getUrlParams(HttpServletRequest request) { String param = ""; SortedMap<String, String> result = new TreeMap<>(); if (StringUtils.isEmpty(request.getQueryString())) { return result; } try { param = URLDecoder.decode(request.getQueryString(), "utf-8"); } catch (UnsupportedEncodingException e) { e.printStackTrace(); } String[] params = param.split("&"); for (String s : params) { String[] array=s.split("="); result.put(array[0], array[1]); } return result; } }

這裡的引數放入SortedMap中對其進行字典排序，前端構建簽名時同樣需要對引數進行字典排序。

3、簽名驗證工具類

@Slf4j @UtilityClass public class SignUtil { /** * 驗證簽名 * 驗證演算法：把timestamp + JsonUtil.object2Json(SortedMap)合成字串，然後MD5 */ @SneakyThrows public boolean verifySign(SortedMap<String, String> map, RequestHeader requestHeader) { String params = requestHeader.getNonce() + requestHeader.getTimestamp() + JsonUtil.object2Json(map); return verifySign(params, requestHeader); } /** * 驗證簽名 */ public boolean verifySign(String params, RequestHeader requestHeader) { log.debug("客戶端簽名: {}", requestHeader.getSign()); if (StringUtils.isEmpty(params)) { return false; } log.info("客戶端上傳內容: {}", params); String paramsSign = DigestUtils.md5DigestAsHex(params.getBytes()).toUpperCase(); log.info("客戶端上傳內容加密後的簽名結果: {}", paramsSign); return requestHeader.getSign().equals(paramsSign); } }

4、HttpServletRequest包裝類

public class SignRequestWrapper extends HttpServletRequestWrapper { //用於將流儲存下來 private byte[] requestBody = null; public SignRequestWrapper(HttpServletRequest request) throws IOException { super(request); requestBody = StreamUtils.copyToByteArray(request.getInputStream()); } @Override public ServletInputStream getInputStream() throws IOException { final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody); return new ServletInputStream() { @Override public boolean isFinished() { return false; } @Override public boolean isReady() { return false; } @Override public void setReadListener(ReadListener readListener) { } @Override public int read() throws IOException { return bais.read(); } }; } @Override public BufferedReader getReader() throws IOException { return new BufferedReader(new InputStreamReader(getInputStream())); } }

防篡改和防重放我們會通過SpringBoot Filter來實現，而編寫的filter過濾器需要讀取request資料流，但是request資料流只能讀取一次，需要自己實現HttpServletRequestWrapper對資料流包裝，目的是將request流儲存下來。

5、建立過濾器實現安全校驗

@Configuration public class SignFilterConfiguration { @Value("${sign.maxTime}") private String signMaxTime; //filter中的初始化引數 private Map<String, String> initParametersMap = new HashMap<>(); @Bean public FilterRegistrationBean contextFilterRegistrationBean() { initParametersMap.put("signMaxTime",signMaxTime); FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setFilter(signFilter()); registration.setInitParameters(initParametersMap); registration.addUrlPatterns("/sign/*"); registration.setName("SignFilter"); // 設定過濾器被呼叫的順序 registration.setOrder(1); return registration; } @Bean public Filter signFilter() { return new SignFilter(); } }

@Slf4j public class SignFilter implements Filter { @Resource private RedisUtil redisUtil; //從fitler配置中獲取sign過期時間 private Long signMaxTime; private static final String NONCE_KEY = "x-nonce-"; @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) servletRequest; HttpServletResponse httpResponse = (HttpServletResponse) servletResponse; log.info("過濾URL:{}", httpRequest.getRequestURI()); HttpServletRequestWrapper requestWrapper = new SignRequestWrapper(httpRequest); //構建請求頭 RequestHeader requestHeader = RequestHeader.builder() .nonce(httpRequest.getHeader("x-Nonce")) .timestamp(Long.parseLong(httpRequest.getHeader("X-Time"))) .sign(httpRequest.getHeader("X-Sign")) .build(); //驗證請求頭是否存在 if(StringUtils.isEmpty(requestHeader.getSign()) || ObjectUtils.isEmpty(requestHeader.getTimestamp()) || StringUtils.isEmpty(requestHeader.getNonce())){ responseFail(httpResponse, ReturnCode.ILLEGAL_HEADER); return; } /* * 1.重放驗證 * 判斷timestamp時間戳與當前時間是否操過60s（過期時間根據業務情況設定）,如果超過了就提示簽名過期。 */ long now = System.currentTimeMillis() / 1000; if (now - requestHeader.getTimestamp() > signMaxTime) { responseFail(httpResponse,ReturnCode.REPLAY_ERROR); return; } //2. 判斷nonce boolean nonceExists = redisUtil.hasKey(NONCE_KEY + requestHeader.getNonce()); if(nonceExists){ //請求重複 responseFail(httpResponse,ReturnCode.REPLAY_ERROR); return; }else { redisUtil.set(NONCE_KEY+requestHeader.getNonce(), requestHeader.getNonce(), signMaxTime); } boolean accept; SortedMap<String, String> paramMap; switch (httpRequest.getMethod()){ case "GET": paramMap = HttpDataUtil.getUrlParams(requestWrapper); accept = SignUtil.verifySign(paramMap, requestHeader); break; case "POST": paramMap = HttpDataUtil.getBodyParams(requestWrapper); accept = SignUtil.verifySign(paramMap, requestHeader); break; default: accept = true; break; } if (accept) { filterChain.doFilter(requestWrapper, servletResponse); } else { responseFail(httpResponse,ReturnCode.ARGUMENT_ERROR); return; } } private void responseFail(HttpServletResponse httpResponse, ReturnCode returnCode) { ResultData<Object> resultData = ResultData.fail(returnCode.getCode(), returnCode.getMessage()); WebUtils.writeJson(httpResponse,resultData); } @Override public void init(FilterConfig filterConfig) throws ServletException { String signTime = filterConfig.getInitParameter("signMaxTime"); signMaxTime = Long.parseLong(signTime); } }

6、Redis工具類

@Component public class RedisUtil { @Resource private RedisTemplate<String, Object> redisTemplate; /** * 判斷key是否存在 * @param key 鍵 * @return true 存在 false不存在 */ public boolean hasKey(String key) { try { return Boolean.TRUE.equals(redisTemplate.hasKey(key)); } catch (Exception e) { e.printStackTrace(); return false; } } /** * 普通快取放入並設定時間 * @param key 鍵 * @param value 值 * @param time 時間(秒) time要大於0 如果time小於等於0 將設定無限期 * @return true成功 false 失敗 */ public boolean set(String key, Object value, long time) { try { if (time > 0) { redisTemplate.opsForValue().set(key, value, time, TimeUnit.SECONDS); } else { set(key, value); } return true; } catch (Exception e) { e.printStackTrace(); return false; } } /** * 普通快取放入 * @param key 鍵 * @param value 值 * @return true成功 false失敗 */ public boolean set(String key, Object value) { try { redisTemplate.opsForValue().set(key, value); return true; } catch (Exception e) { e.printStackTrace(); return false; } } }

老鳥系列原始碼已經上傳至GitHub，需要的在公號【JAVA日知錄】回覆關鍵字 0923 獲取原始碼地址。