開放平臺API接口安全性設(shè)計——微信支付為例

API接口呜象,類似http://mypay.com/refund/order_id=123&mch_id=123尉辑,這個請求我以商戶mch_id=123的身份給訂單號為order_id=123退款畜疾,如果服務(wù)器不辯別請求發(fā)起者的身份直接做相應(yīng)的操作,那是及其危險的茶没。

一般的筒占,在PC端,我們是通過加密的cookie來做會員的辨識和維持會話的蛛株;但是cookie是屬于瀏覽器的本地存儲功能团赁。APP端不能用,所以我們得通過token參數(shù)來辨識會員谨履;而這個token該如何處理呢欢摄?
延伸開來,接口的安全性主要圍繞Token笋粟、Timestamp和Sign三個機(jī)制展開設(shè)計怀挠,保證接口的數(shù)據(jù)不會被篡改和重復(fù)調(diào)用。

一般來說害捕,在前端對數(shù)據(jù)做加密或者前面绿淋,是不現(xiàn)實(shí)的。前后端使用HTTP協(xié)議進(jìn)行交互的時候尝盼,由于HTTP報文為明文躬它,所以通常情況下對于比較敏感的信息可以通過在前端加密,然后在后端解密實(shí)現(xiàn)"混淆"的效果东涡,避免在傳輸過程中敏感信息的泄露(如冯吓,密碼,證件信息等)疮跑。不過前端加密只能保證傳輸過程中信息是‘混淆’過的组贺,對于高手來說,打個debugger祖娘,照樣可以獲取到數(shù)據(jù)失尖,并不安全,所謂的前端加密只是稍微增加了攻擊者的成本渐苏,并不能保證真正的安全掀潮。即使你說在前端做了RSA公鑰加密,也很有可能被高手獲取到公鑰琼富,并使用該公鑰加密數(shù)據(jù)后發(fā)給服務(wù)端仪吧,所以務(wù)必認(rèn)為前端的數(shù)據(jù)是不可靠的,服務(wù)端要加以辯別鞠眉。敏感信息建議上https薯鼠。

所以一般建議上https择诈,敏感信息md5混淆,前端不傳輸金額字段出皇,而是傳遞商品id羞芍,后端取商品id對應(yīng)的金額,將金額等參數(shù)加簽名發(fā)送到支付系統(tǒng)郊艘。金額可以是明文的荷科。


加密

一. Token

token授權(quán)機(jī)制:用戶使用用戶名密碼登錄后,后臺給客戶端返回一個token(通常是UUID)纱注,并將Token-UserId鍵值對存儲在redis中步做,以后客戶端每次請求帶上token,服務(wù)端獲取到對應(yīng)的UserId進(jìn)行操作奈附。如果Token不存在全度,說明請求無效。
弊端:token可以被抓包獲取斥滤,無法預(yù)防MITM中間人攻擊

二. Timestamp

用戶每次請求都帶上當(dāng)前時間的時間戳timestamp将鸵,服務(wù)器收到請求后對比時間差,超過一定時長(如5分鐘)佑颇,則認(rèn)為請求失效顶掉。時間戳超時機(jī)制是防御DOS攻擊的有效手段。

三. Sign和RSA算法

將token挑胸,timestamp等其他參數(shù)以字典序排序痒筒,再加上一個客戶端私密的唯一id(這種一般做在服務(wù)端,前端無法安全保存這個id)或使用私鑰簽名茬贵,將前面的字符串做MD5等加密簿透,作為sign參數(shù)傳遞給服務(wù)端。

四. 公鑰加密解藻,私鑰簽名

地球上最重要的加密算法:非對稱加密的RSA算法老充。公鑰加密的數(shù)據(jù),可以用私鑰解密螟左;私鑰簽名(加密)的數(shù)據(jù)啡浊,可以用公鑰驗(yàn)簽。

1977年胶背,三位數(shù)學(xué)家Rivest巷嚣、Shamir 和 Adleman 設(shè)計了一種算法,可以實(shí)現(xiàn)非對稱加密钳吟。這種算法用他們?nèi)齻€人的名字命名廷粒,叫RSA算法。

RSA原理是對極大整數(shù)做因數(shù)分解砸抛,以下摘自維基百科评雌。


公鑰加密

解密和驗(yàn)簽

五. 微信支付的簽名方式

暫時比較忙沒時間树枫,將于7月29日晚更新直焙。
來更新啦景东。
微信支付安全規(guī)范,可以查看官方文檔https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3
第1點(diǎn)中奔誓,其簽名算法最重要的一步斤吐,是在最后拼接了商戶私密的API密鑰,然后通過md5生成簽名厨喂,這時即使金額是明文也是安全的和措,如果有人獲取并修改了金額,但是簽名字段他是無法偽造的蜕煌,因?yàn)樗麩o法知道商戶的API密鑰派阱。當(dāng)然,除了微信支付的拼接API生成簽名的方法斜纪,我們也可以通過java自帶的security包進(jìn)行私鑰簽名贫母。其中nonce隨機(jī)字符串,微信支付應(yīng)該做了校驗(yàn)盒刚,可以防止重放攻擊腺劣,保證一次請求有效,如果nonce在微信支付那邊已經(jīng)存在因块,說明該請求已執(zhí)行過橘原,拒絕執(zhí)行該請求。

API密鑰

參考資料

阮一峰老師的博客-RSA算法原理:http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html
維基百科:https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

喜歡我的文章的小伙伴歡迎關(guān)注我的公眾號“東瓜東瓜”哦涡上,自己上微信搜一下趾断。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市吩愧,隨后出現(xiàn)的幾起案子歼冰,更是在濱河造成了極大的恐慌,老刑警劉巖耻警,帶你破解...
    沈念sama閱讀 223,126評論 6 520
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件隔嫡,死亡現(xiàn)場離奇詭異,居然都是意外死亡甘穿,警方通過查閱死者的電腦和手機(jī)腮恩,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,421評論 3 400
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來温兼,“玉大人秸滴,你說我怎么就攤上這事∧寂校” “怎么了荡含?”我有些...
    開封第一講書人閱讀 169,941評論 0 366
  • 文/不壞的土叔 我叫張陵咒唆,是天一觀的道長。 經(jīng)常有香客問我释液,道長全释,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,294評論 1 300
  • 正文 為了忘掉前任误债,我火速辦了婚禮浸船,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘寝蹈。我一直安慰自己李命,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,295評論 6 398
  • 文/花漫 我一把揭開白布箫老。 她就那樣靜靜地躺著封字,像睡著了一般。 火紅的嫁衣襯著肌膚如雪耍鬓。 梳的紋絲不亂的頭發(fā)上阔籽,一...
    開封第一講書人閱讀 52,874評論 1 314
  • 那天,我揣著相機(jī)與錄音界斜,去河邊找鬼仿耽。 笑死,一個胖子當(dāng)著我的面吹牛各薇,可吹牛的內(nèi)容都是我干的项贺。 我是一名探鬼主播,決...
    沈念sama閱讀 41,285評論 3 424
  • 文/蒼蘭香墨 我猛地睜開眼峭判,長吁一口氣:“原來是場噩夢啊……” “哼开缎!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起林螃,我...
    開封第一講書人閱讀 40,249評論 0 277
  • 序言:老撾萬榮一對情侶失蹤奕删,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后疗认,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體完残,經(jīng)...
    沈念sama閱讀 46,760評論 1 321
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,840評論 3 343
  • 正文 我和宋清朗相戀三年横漏,在試婚紗的時候發(fā)現(xiàn)自己被綠了谨设。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,973評論 1 354
  • 序言:一個原本活蹦亂跳的男人離奇死亡缎浇,死狀恐怖扎拣,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤二蓝,帶...
    沈念sama閱讀 36,631評論 5 351
  • 正文 年R本政府宣布誉券,位于F島的核電站,受9級特大地震影響刊愚,放射性物質(zhì)發(fā)生泄漏踊跟。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,315評論 3 336
  • 文/蒙蒙 一百拓、第九天 我趴在偏房一處隱蔽的房頂上張望琴锭。 院中可真熱鬧晰甚,春花似錦衙传、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,797評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至扁远,卻和暖如春俊鱼,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背畅买。 一陣腳步聲響...
    開封第一講書人閱讀 33,926評論 1 275
  • 我被黑心中介騙來泰國打工并闲, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人谷羞。 一個月前我還...
    沈念sama閱讀 49,431評論 3 379
  • 正文 我出身青樓帝火,卻偏偏與公主長得像,于是被迫代替她去往敵國和親湃缎。 傳聞我的和親對象是個殘疾皇子犀填,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,982評論 2 361

推薦閱讀更多精彩內(nèi)容