前言

如果在访问某WebAPI过程中request信息被他人截获,若是get请求获取数据还好,如果是post提交数据,势必威胁数据安全,所以对于一个对安全性要求较高的API来说,对每个请求做身份验证显得尤为重要;

防范策略解析

策略1

客户端发送http请求访问API时,在请求头里设置一个双方约定好的key;

知识点:

1、如果给Django程序发送请求头,headers携带内容包含下滑杠 _,Django会不认识;

2、客户端 auth-api ----->服务端 转换成 'HTTP_AUTH_API'格式

3、服务端获取clent_key=request.META.get('HTTP_AUTH_API')

客户端

import  requests
key='sssdkjrjefjewfakfhkj'
respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':key}).text
#如果给Django程序发送请求头,如果headers里面的内容使用下滑杠 _,Django会不认识;
#auth-api -----> 转换成 'HTTP_AUTH_API'格式
#服务端获取clent_key=request.META.get('HTTP_AUTH_API')
print(respose)

服务端

def test(request):
key='sssdkjrjefjewfakfhkj'
clent_key=request.META.get('HTTP_AUTH_API')
if clent_key == key:
return HttpResponse('你得到我了')
else:
return HttpResponse('休想')

漏洞:虽然双方约定好了key,但是请求头依然会被截获到;

策略2

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端

客户端

import  requests
import time
import hashlib
key='sssdkjrjefjewfakfhkj'
ctime=str(time.time())
def MD5(arg):
hs=hashlib.md5()
hs.update(arg.encode('utf-8')) #python3加密使用字节类型
return hs.hexdigest() new_key='%s|%s' % (key,ctime) # sssdkjrjefjewfakfhkj | 时间戳
md5_str=MD5(new_key)
auth_api_val='%s|%s'%(md5_str,ctime) #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳
print(md5_str)
respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text
print(respose)

服务端

import hashlib
import time def MD5(arg):
hs = hashlib.md5()
hs.update(arg.encode('utf-8')) # python3加密使用字节类型
return hs.hexdigest() def test(request):
key='sssdkjrjefjewfakfhkj'
auth_api_val=request.META.get('HTTP_AUTH_API') #052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001
client_md5_str,client_ctime =auth_api_val.split('|',maxsplit=1)
server_md5_str=MD5('%s|%s'%(key,client_ctime)) if client_md5_str== server_md5_str:
return HttpResponse('你得到我了')
else:
return HttpResponse('休想')

漏洞:折腾了半天虽然可以动态加密,但依然可以获取到,且客户端会生成很多加密字符串,黑客获取任意一个都可以访问到API

策略3

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端是否相等

5.动态密码有时间限制,超过5秒失效

客户端

import  requests
import time
import hashlib
key='sssdkjrjefjewfakfhkj'
ctime=str(time.time())
def MD5(arg):
hs=hashlib.md5()
hs.update(arg.encode('utf-8')) #python3加密使用字节类型
return hs.hexdigest() new_key='%s|%s' % (key,ctime) # sssdkjrjefjewfakfhkj | 时间戳
md5_str=MD5(new_key)
auth_api_val='%s|%s'%(md5_str,ctime) #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳
print(md5_str)
respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text
print(respose)

服务端

def test(request):
server_float_ctime=time.time()
key='sssdkjrjefjewfakfhkj'
auth_api_val=request.META.get('HTTP_AUTH_API') #052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001
client_md5_str,client_ctime =auth_api_val.split('|',maxsplit=1)
client_float_ctime=float(client_ctime) if client_float_ctime+5 < server_float_ctime:
return HttpResponse('想要破解密码最在5秒之内') server_md5_str = MD5('%s|%s' % (key, client_ctime))
if client_md5_str== server_md5_str:
return HttpResponse('你得到我了')
else:
return HttpResponse('休想')

漏洞:虽然加密字符串有了时间限制,但时间就是漏洞

策略4

1.key+当前客户端时间戳 组成1个MD5加密字符串

2.MD5加密字符串|当前时间戳 组成1串密码,hearder携带

3.服务端接收到客户端发送的那1串密码,split 出客户端时间

4.来着客户端时间+服务端key做MD5加密还原,对比客户端和服务端是否相等

5.动态+加密字符串+时间限制,超过5秒失效

6.记录最近5秒访问客户端的加密字符串,如果当前客户端使用的字符串存在记录中,说明是窃取(因为正常用户每次,访问API会携带不同的加密字符串)

客户端

import  requests
import time
import hashlib
key='sssdkjrjefjewfakfhkj'
ctime=str(time.time())
def MD5(arg):
hs=hashlib.md5()
hs.update(arg.encode('utf-8')) #python3加密使用字节类型
return hs.hexdigest() new_key='%s|%s' % (key,ctime) # sssdkjrjefjewfakfhkj | 时间戳
md5_str=MD5(new_key)
auth_api_val='%s|%s'%(md5_str,ctime) #d0e0ca7d1f8f72d60715696d4baac3b2(key和时间戳加密后的结果)| 时间戳
print(md5_str)
respose=requests.get(url='http://127.0.0.1:8000/test.html/',headers={'auth-api':auth_api_val}).text
print(respose) #如果给Django程序发送请求头,如果headers里面的内容使用下滑杠 _,Django会不认识;
#auth-api -----> 转换成 'HTTP_AUTH_API'格式
#服务端获取clent_key=request.META.get('HTTP_AUTH_API')

服务端

#api验证装饰器
def api_auth(func):
def inner(request,*args,**kwargs):
server_float_ctime = time.time()
key = 'sssdkjrjefjewfakfhkj'
auth_api_val = request.META.get('HTTP_AUTH_API') # 052dd27c130f4b9b5a8a4ec4b243962d | 1507374976.4620001
client_md5_str, client_ctime = auth_api_val.split('|', maxsplit=1)
client_float_ctime = float(client_ctime)
# 第1关时间限制
if client_float_ctime + 5 < server_float_ctime:
return HttpResponse('想要破解密码最在5秒之内')
# 第二关 MD5加密
server_md5_str = MD5('%s|%s' % (key, client_ctime))
if client_md5_str != server_md5_str:
return HttpResponse('休想')
# 第三关
for k in list(visited_keys.keys()): #清空字典访问记录
v=visited_keys[k]
if server_float_ctime > v:
del visited_keys[k]
#已经使用过 MD5加密字符串(访问记录)
if visited_keys.get(client_md5_str):
return HttpResponse('你放弃吧')
visited_keys[client_md5_str] = client_float_ctime+5#(只需维护5秒之内访问记录即可,因为超过5秒第一关都过不去了)
return func(request,*args,**kwargs)
return inner

漏洞:待各位看官补充。。。。

参考:http://www.cnblogs.com/wupeiqi/articles/6746744.html

API验证插件的更多相关文章

  1. jQuery Validate 表单验证插件----Validate简介,官方文档,官方下载地址

     一. jQuery Validate 插件的介绍 jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程序各种需求.该插件捆 ...

  2. Jquery.validate.js表单验证插件的使用

    作为一个网站web开发人员,以前居然不知道还有表单验证这样好呀的插件,还在一行行写表单验证,真是后悔没能早点知道他们的存在. 最近公司不忙,自己学习一些东西的时候,发现了validation的一个实例 ...

  3. jQuery formValidator表单验证插件

    什么是jQuery formValidator? jQuery formValidator表单验证插件是客户端表单验证插件. 在做B/S开发的时候,我们经常涉及到很多表单验证,例如新用户注册,填写个人 ...

  4. bootstrapValidator表单验证插件

    bootstrapValidator——一个很好用的表单验证插件,再也不用手写验证规则啦! bootstrapValidator官方文档:http://bootstrapvalidator.votin ...

  5. jquery validate强大的jquery表单验证插件

    jquery validate的官方演示和文档地址: 官方网站:http://jqueryvalidation.org/ 官方演示:http://jqueryvalidation.org/files/ ...

  6. 10个强大的Javascript表单验证插件推荐

    创建一个JavaScript表单验证插件,可以说是一个繁琐的过程,涉及到初期设计.开发与测试等等环节.实际上一个优秀的程序员不仅是技术高手,也应该是善假于外物的.本文介绍了10个不错的JavaScri ...

  7. CMDB 数据加密 最终整合API验证+AES数据加密

    当CMDB运行在内网的时候,经过API验证的三关是没有问题的,但是如果运行在外网,有一个问题是,黑客截取后的访问速度比客户端快的时候还会造成数据泄露.为了解决这个问题,就要对数据进行加密 RSA加密 ...

  8. VeeValidate——vue2.0表单验证插件

    一.vee-validate入门 vee-validate 是一个轻量级的 vue表单验证插件.它有很多开箱即用的验证规则,也支持自定义验证规则.它是基于模板的,因此它与HTML5验证API类似且熟悉 ...

  9. jquery validate表单验证插件-推荐

    1 表单验证的准备工作 在开启长篇大论之前,首先将表单验证的效果展示给大家.     1.点击表单项,显示帮助提示 2.鼠标离开表单项时,开始校验元素  3.鼠标离开后的正确.错误提示及鼠标移入时的帮 ...

随机推荐

  1. 【Python】【有趣的模块】【sys&time&os】

    [模块] sys.path.append('C:/Users/wangxue1/PycharmProjects/selenium2TestOne') 然后就可以直接import 这个路径下的模块了 [ ...

  2. MongoDB数据库的基本操作

    非关系型数据库(json数据库) npm install mongoose --save 启动数据酷: mongod --config /usr/local/etc/mongod.conf 这里可以将 ...

  3. 八皇后问题 递归实现 C语言 超详细 思路 基础

    八皇后问题 :假设 將八个皇后放到国际象棋盘上,使其两两之间无法相互攻击.共有几种摆法? 基础知识: 国际象棋里,棋盘为8X8格. 皇后每步可以沿直线.斜线 走任意格. 思路: 1.想把8个皇后放进去 ...

  4. Educational Codeforces Round 23 F. MEX Queries 离散化+线段树

    F. MEX Queries time limit per test 2 seconds memory limit per test 256 megabytes input standard inpu ...

  5. [转][c++][跨平台]c++跨平台开发小结

    转自:https://blog.csdn.net/dj0379/article/details/53577135 linux编程与windows编程的差异之处: 1. 文件与目录的大小写以及路径分隔符 ...

  6. linux 打开一个文件现swap文件

    转自:http://blog.csdn.net/eckelwei/article/details/17078187 有时候在用vim打开文件时提示类似以下的信息: 发现交换文件 ".expo ...

  7. 远程Service的显示 / 隐式启动

    在进程间通信时,常会设计开启远程 Service 的情况.开启远程 Service 的方式有两种,一种时显示开启,一种是隐式开启.下面分别来看: 一.隐式开启 服务端:Service 所在 Andro ...

  8. PowerDesign的简单使用方法

    PowerDesigner是一款功能非常强大的建模工具软件,足以与Rose比肩,同样是当今最著名的建模软件之一.Rose是专攻UML对象模型的建模工具,之后才向数据库建模发展,而PowerDesign ...

  9. link和@import区别

    推荐使用:link 区别 1.从属关系区别@import是 CSS 提供的语法规则,只有导入样式表的作用:link是HTML提供的标签,不仅可以加载 CSS 文件,还可以定义 RSS.rel 连接属性 ...

  10. Java操作Kafka

    java操作kafka非常的简单,然后kafka也提供了很多缺省值,一般情况下我们不需要修改太多的参数就能使用.下面我贴出代码. pom.xml <dependency> <grou ...