前言

如果在访问某WebAPI过程中request信息被他人截获,若是get请求获取数据还好,如果是post提交数据,势必威胁数据安全,所以对于一个对安全性要求较高的API来说,对每个请求做身份验证显得尤为重要;

防范策略解析

策略1

客户端发送http请求访问API时,在请求头里设置一个双方约定好的key;

知识点:

1、如果给Django程序发送请求头,headers携带内容包含下滑杠 _,Django会不认识;

2、客户端 auth-api ----->服务端 转换成 'HTTP_AUTH_API'格式

3、服务端获取clent_key=request.META.get('HTTP_AUTH_API')

客户端

import  requests

key='sssdkjrjefjewfakfhkj'

respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':key}).text

#如果给Django程序发送请求头,如果headers里面的内容使用下滑杠 _,Django会不认识;

#auth-api  -----> 转换成 'HTTP_AUTH_API'格式

#服务端获取clent_key=request.META.get('HTTP_AUTH_API')

print(respose)

服务端

def test(request):

    key='sssdkjrjefjewfakfhkj'

    clent_key=request.META.get('HTTP_AUTH_API')

    if clent_key == key:

        return HttpResponse('你得到我了')

    else:

        return HttpResponse('休想')

漏洞:虽然双方约定好了key,但是请求头依然会被截获到;

策略2

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端

客户端

import  requests

import time

import hashlib

key='sssdkjrjefjewfakfhkj'

ctime=str(time.time())

def MD5(arg):

    hs=hashlib.md5()

    hs.update(arg.encode('utf-8'))  #python3加密使用字节类型

    return hs.hexdigest()

new_key='%s|%s' % (key,ctime)  # sssdkjrjefjewfakfhkj | 时间戳

md5_str=MD5(new_key)

auth_api_val='%s|%s'%(md5_str,ctime)  #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳

print(md5_str)

respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text

print(respose)

服务端

import hashlib

import time

def MD5(arg):

    hs = hashlib.md5()

    hs.update(arg.encode('utf-8'))  # python3加密使用字节类型

    return hs.hexdigest()

def test(request):

    key='sssdkjrjefjewfakfhkj'

    auth_api_val=request.META.get('HTTP_AUTH_API')  #052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001

    client_md5_str,client_ctime =auth_api_val.split('|',maxsplit=1)

    server_md5_str=MD5('%s|%s'%(key,client_ctime))

    if client_md5_str== server_md5_str:

        return HttpResponse('你得到我了')

    else:

        return HttpResponse('休想')

漏洞:折腾了半天虽然可以动态加密,但依然可以获取到,且客户端会生成很多加密字符串,黑客获取任意一个都可以访问到API

策略3

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端是否相等

5.动态密码有时间限制,超过5秒失效

客户端

import  requests

import time

import hashlib

key='sssdkjrjefjewfakfhkj'

ctime=str(time.time())

def MD5(arg):

    hs=hashlib.md5()

    hs.update(arg.encode('utf-8'))  #python3加密使用字节类型

    return hs.hexdigest()

new_key='%s|%s' % (key,ctime)  # sssdkjrjefjewfakfhkj | 时间戳

md5_str=MD5(new_key)

auth_api_val='%s|%s'%(md5_str,ctime)  #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳

print(md5_str)

respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text

print(respose)

服务端

def test(request):

    server_float_ctime=time.time()

    key='sssdkjrjefjewfakfhkj'

    auth_api_val=request.META.get('HTTP_AUTH_API')  #052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001

    client_md5_str,client_ctime =auth_api_val.split('|',maxsplit=1)

    client_float_ctime=float(client_ctime)

    if client_float_ctime+5 < server_float_ctime:

        return HttpResponse('想要破解密码最在5秒之内')

    server_md5_str = MD5('%s|%s' % (key, client_ctime))

    if client_md5_str== server_md5_str:

        return HttpResponse('你得到我了')

    else:

        return HttpResponse('休想')

漏洞:虽然加密字符串有了时间限制,但时间就是漏洞

策略4

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端是否相等

5.动态+加密字符串+时间限制,超过5秒失效

6.记录最近5秒访问客户端的加密字符串,如果当前客户端使用的字符串存在记录中,说明是窃取(因为正常用户每次,访问API会携带不同的加密字符串)

客户端

import  requests

import time

import hashlib

key='sssdkjrjefjewfakfhkj'

ctime=str(time.time())

def MD5(arg):

    hs=hashlib.md5()

    hs.update(arg.encode('utf-8'))  #python3加密使用字节类型

    return hs.hexdigest()

new_key='%s|%s' % (key,ctime)  # sssdkjrjefjewfakfhkj | 时间戳

md5_str=MD5(new_key)

auth_api_val='%s|%s'%(md5_str,ctime)  #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳

print(md5_str)

respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text

print(respose)

#如果给Django程序发送请求头,如果headers里面的内容使用下滑杠 _,Django会不认识;

#auth-api  -----> 转换成 'HTTP_AUTH_API'格式

#服务端获取clent_key=request.META.get('HTTP_AUTH_API')

服务端

#api验证装饰器

def api_auth(func):

    def inner(request,*args,**kwargs):

        server_float_ctime = time.time()

        key = 'sssdkjrjefjewfakfhkj'

        auth_api_val = request.META.get('HTTP_AUTH_API')  # 052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001

        client_md5_str, client_ctime = auth_api_val.split('|', maxsplit=1)

        client_float_ctime = float(client_ctime)

        # 第1关时间限制

        if client_float_ctime + 5 < server_float_ctime:

            return HttpResponse('想要破解密码最在5秒之内')

        # 第二关 MD5加密

        server_md5_str = MD5('%s|%s' % (key, client_ctime))

        if client_md5_str != server_md5_str:

            return HttpResponse('休想')

        # 第三关

        for k in list(visited_keys.keys()): #清空字典访问记录

            v=visited_keys[k]

            if server_float_ctime > v:

                del visited_keys[k]

        #已经使用过 MD5加密字符串(访问记录)

        if visited_keys.get(client_md5_str):

            return HttpResponse('你放弃吧')

        visited_keys[client_md5_str] = client_float_ctime+5#(只需维护5秒之内访问记录即可,因为超过5秒第一关都过不去了)

        return func(request,*args,**kwargs)

    return inner

漏洞:待各位看官补充。。。。

参考:http://www.cnblogs.com/wupeiqi/articles/6746744.html

API验证插件的更多相关文章

  1. jQuery Validate 表单验证插件----Validate简介,官方文档,官方下载地址

     一. jQuery Validate 插件的介绍 jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程序各种需求.该插件捆 ...

  2. Jquery.validate.js表单验证插件的使用

    作为一个网站web开发人员,以前居然不知道还有表单验证这样好呀的插件,还在一行行写表单验证,真是后悔没能早点知道他们的存在. 最近公司不忙,自己学习一些东西的时候,发现了validation的一个实例 ...

  3. jQuery formValidator表单验证插件

    什么是jQuery formValidator? jQuery formValidator表单验证插件是客户端表单验证插件. 在做B/S开发的时候,我们经常涉及到很多表单验证,例如新用户注册,填写个人 ...

  4. bootstrapValidator表单验证插件

    bootstrapValidator——一个很好用的表单验证插件,再也不用手写验证规则啦! bootstrapValidator官方文档:http://bootstrapvalidator.votin ...

  5. jquery validate强大的jquery表单验证插件

    jquery validate的官方演示和文档地址: 官方网站:http://jqueryvalidation.org/ 官方演示:http://jqueryvalidation.org/files/ ...

  6. 10个强大的Javascript表单验证插件推荐

    创建一个JavaScript表单验证插件,可以说是一个繁琐的过程,涉及到初期设计.开发与测试等等环节.实际上一个优秀的程序员不仅是技术高手,也应该是善假于外物的.本文介绍了10个不错的JavaScri ...

  7. CMDB 数据加密 最终整合API验证+AES数据加密

    当CMDB运行在内网的时候,经过API验证的三关是没有问题的,但是如果运行在外网,有一个问题是,黑客截取后的访问速度比客户端快的时候还会造成数据泄露.为了解决这个问题,就要对数据进行加密 RSA加密 ...

  8. VeeValidate——vue2.0表单验证插件

    一.vee-validate入门 vee-validate 是一个轻量级的 vue表单验证插件.它有很多开箱即用的验证规则,也支持自定义验证规则.它是基于模板的,因此它与HTML5验证API类似且熟悉 ...

  9. jquery validate表单验证插件-推荐

    1 表单验证的准备工作 在开启长篇大论之前,首先将表单验证的效果展示给大家.     1.点击表单项,显示帮助提示 2.鼠标离开表单项时,开始校验元素  3.鼠标离开后的正确.错误提示及鼠标移入时的帮 ...

随机推荐

  1. jenkins+ant+jmeter自动化性能测试平台

    jenkins+ant+jmeter自动化性能测试平台 Jmeter是性能测试的工具,java编写.开源,小巧方便,可以图形界面运行也可以在命令行下运行.网上已经有人使用ant来运行,http://w ...

  2. 键盘控制div移动并且解决停顿问题(原生js)

    <html> <head> <title>键盘控制div移动,解决停顿问题</title> <meta charset="utf-8&q ...

  3. docker+jenkins实现spring boot项目持续集成自动化部署

    一.首先jenkins与docker的安装参考下面链接   安装jenkins:  https://www.cnblogs.com/jescs/p/7644635.html   安装docker:ht ...

  4. SHA-256 加密原理

    网络中传输敏感信息的时候通常会对字符串做加密解密处理 SHA-256 加密原理

  5. dml语句和ddl语句 区别

    delete from user删除所有记录,属于dml语句,一条记录一条记录删除.事务可以作用在dml语句上的 truncate table user;删除所有记录,属于ddl语句,将表删除,然后重 ...

  6. CentOS6.5下安装配置MySQL数据库

    一.MySQL简介 说到数据库,我们大多想到的是关系型数据库,比如MySQL.Oracle.SQLServer等等,这些数据库软件在Windows上安装都非常的方便,在Linux上如果要安装数据库,咱 ...

  7. Python 传递任意数量的实参

    在定义函数的时候如果你不知道该函数在使用的时候要接收多少的实参怎么办? 好在python提供了可以接收任意数量的实参的操作. # def sandwitch(*ingredents): # print ...

  8. Cordova 混合开发

    详细的教程在以下博客 https://blog.csdn.net/csdn100861/article/details/78585333

  9. Codeforces 1009 F - Dominant Indices

    F - Dominant Indices 思路:树上启发式合并 先跑轻子树,然后清除轻子树的信息 最后跑重子树,不清除信息 然后再跑一遍轻子树,重新加回轻子树的信息 由于一个节点到根节点最多有logn ...

  10. JAVA基础知识总结:二十

    一.网络编程基础 1.概念 所谓计算机网络,就是把分布在不同区域的计算机与专门的外部设备使用通信线路连接成一个规模大,功能比较强的网络系统,从而使得计算机之间可以相互通信,共享资源 所谓的网络编程,在 ...