devbox
小小林熬夜学编程
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

前后端接口加密,数字签名_怎么对开发的接口进行加密

作者:小小林熬夜学编程 | 2024-05-18 17:51:59

怎么对开发的接口进行加密

一、前言

        最近查阅项目日志时,我发现了一些奇怪的请求,比如有人访问了 "/robot.txt"。由于之前了解过渗透测试,我猜测可能有人使用自动扫描工具尝试对我的项目进行扫描。

        为了解决这个问题,我考虑了一些解决思路。首先,在前端方面,我打算对接口进行加密。具体做法是统一拦截所有的http请求,在请求头中添加时间戳。然后,我会将这个时间戳与当前的实时时间进行对比,如果超过了我所定义的时间范围,就会抛出错误。此外,我还会利用哈希算法,结合时间戳和http请求的body或params,生成一个秘钥。这样,在后端接收到请求后,我们可以通过解密和验证数字签名,确保请求的完整性和合法性。

二、前端处理

1、首先定义一个js工具函数,利用params, timestamp, secretKey,生成秘钥,详细代码如下:

  1. import crypto from 'crypto';
  2.  
  3. export function generateSign(params, timestamp, secretKey) {
  4. let paramStr = '';
  5.   if (params !== undefined) {
  6.     paramStr = JSON.stringify(params);
  7.   }
  8.   paramStr += String(timestamp);
  9.   paramStr += secretKey;
  10.   // console.log("加密前组装",paramStr)
  11.   console.log("加密后结果",crypto.createHash('sha256').update(paramStr).digest('hex'))
  12.   return crypto.createHash('sha256').update(paramStr).digest('hex');
  13. }

2、需要在vue项目的请求拦截器添加处理之后的秘钥,详情如下:

  1. import { generateSign } from './sign.js'
  2. const secretKey = 'your-secret-key';
  3.  
  4. class Http {
  5.   constructor() {
  6.     this.http = axios.create({
  7.       baseURL: backURL,
  8.       timeout:100000
  9.     })
  10.  
  11.     // 设置拦截器,用来添加JWT Token的
  12.     this.http.interceptors.request.use(config => {
  13.       const token = sessionStorage.getItem("token");
  14.       if (token && token != 'undefined') {
  15.         config.headers.common.Authorization = "Token " + token
  16.         // 获取当前时间戳
  17.         return addSignAndTimestamp(config)
  18.       }
  19.       return addSignAndTimestamp(config)
  20.     },error =>{
  21.       return Promise.reject(error)
  22.     })
  23.  
  24.     function addSignAndTimestamp(config) {
  25.       const timestamp = Date.now();
  26.       let sign;
  27.       if (config.method === 'post' || config.method === 'put') {
  28.         sign = generateSign(config.data, timestamp, secretKey);
  29.       } else {
  30.         sign = generateSign(config.params, timestamp, secretKey);
  31.       }
  32.       config.headers['X-Timestamp'] = timestamp;
  33.       config.headers['X-Sign'] = sign;
  34.       return config;
  35.     }
  36.   }
  37. }

三、后端处理

1、前端使用了hash生成秘钥,在后端也需要同样的算法生成秘钥。

  1. import hashlib
  2. import json
  3.  
  4. def generate_sign(params, timestamp, secret_key):
  5.     param_str = json.dumps(params, separators=(',', ':'), ensure_ascii=False) if params and params != {} else ''
  6.     param_str = f"{param_str}{timestamp}{secret_key}"
  7.     hash_obj = hashlib.sha256(param_str.encode())
  8.     return hash_obj.hexdigest()

2、后端django可以利用中间件在视图层获取到请求之前进行处理

首先,自己定义中间件的内容,尤其需要注意secret_key 需要前后端保持一致。

  1. import json
  2. import time
  3. import hashlib
  4. from django.http import HttpResponseBadRequest
  5. from sso.sign import generate_sign
  6.  
  7.  
  8. class SignatureMiddleware:
  9.     def __init__(self, get_response):
  10.         self.get_response = get_response
  11.         self.secret_key = 'your-secret-key'
  12.  
  13.     def __call__(self, request):
  14.         # # 在请求头中获取签名和时间戳
  15.         timestamp = request.META.get('HTTP_X_TIMESTAMP')
  16.         sign = request.META.get('HTTP_X_SIGN')
  17.  
  18.         if not timestamp or not sign:
  19.             # 如果请求头中没有签名或时间戳,返回错误响应
  20.             return HttpResponseBadRequest('Missing signature or timestamp')
  21.  
  22.         # 构造签名参数
  23.         if request.method == 'GET':
  24.             params = request.GET.dict()
  25.         elif request.method == 'POST':
  26.             params = convert_request_body(request.body)
  27.         elif request.method == 'PUT':
  28.             params = convert_request_body(request.body)
  29.         elif request.method == 'DELETE':
  30.             params = convert_request_body(request.body)
  31.         else:
  32.             # 对于其他请求方法,可以根据需要自行处理
  33.             return HttpResponseBadRequest('no support method')
  34.  
  35.         # 根据请求参数、时间戳和密钥生成签名
  36.         expected_sign = generate_sign(params, timestamp, self.secret_key)
  37.  
  38.         # 验证签名是否正确
  39.         if sign != expected_sign:
  40.             return HttpResponseBadRequest('Invalid signature')
  41.  
  42.         # 验证时间戳是否过期
  43.         now = int(time.time() * 1000)
  44.         if abs(now - int(timestamp)) > 3 * 60 * 1000:  # 时间戳有效期为 3 分钟
  45.             return HttpResponseBadRequest('Expired timestamp')
  46.  
  47.         # 如果签名和时间戳均合法,则继续处理请求
  48.         response = self.get_response(request)
  49.         return response
  50.  
  51.  
  52. def convert_request_body(request_body):
  53.     # 解码请求体字节,如果为空则返回空字典
  54.     body_str = request_body.decode('utf-8') if request_body else ""
  55.     # 将解码后的字符串转换为字典,如果为空则返回空字典
  56.     params = json.loads(body_str) if body_str else ""
  57.     return params

3、在项目的 settings.py添加中间件即可

  1. MIDDLEWARE = [
  2.     'sso.SignatureMiddleware.SignatureMiddleware'  #自定义的中间件
  3. ]

四、总结

        通过引入时间戳超时机制和哈希算法数字签名技术,我们有效地防止了重放攻击和请求篡改的风险。这些安全措施不仅保护了项目的机密性和完整性,也提升了用户对项目的信任度。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小小林熬夜学编程/article/detail/589303
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号