当前位置: 首页 > news >正文 网站平台搭建包括哪些微网站建设合同 news 2025/10/26 21:13:14 网站平台搭建包括哪些,微网站建设合同,网页 看 wordpress,好看的个人工作室源码渗透测试 一、Token与签名 一般客户端和服务端的设计过程中#xff0c;大部分分为有状态和无状态接口。 一般用户登录状态下#xff0c;判断用户是否有权限或者能否请求接口#xff0c;都是根据用户登录成功后#xff0c;服务端授予的token进行控制的。 但并不是说有了tok…渗透测试 一、Token与签名 一般客户端和服务端的设计过程中大部分分为有状态和无状态接口。 一般用户登录状态下判断用户是否有权限或者能否请求接口都是根据用户登录成功后服务端授予的token进行控制的。 但并不是说有了token请求就是安全的那么万一token泄露了怎么办呢谁都可以调用我的服务了吗 所以token只是用户权限以及会话的凭证除了会话的凭证我们也要校验请求的合法性以防止token泄露而导致客户的损失。 而签名摘要计算则是用来进行请求合法性校验。经常同学们会把这两种搞混。以为使用token就是安全的。 二、签名计算设计 签名摘要的计算一般分为签名值和签名的keysignature生成方式如下 ①、签名字符串的设计 针对不同的攻击策略设计什么样的请求头部。常用的签名字符串设计如下 CanonicalizedHeaders构建方法如下 Ⅰ、以service为前缀的的Headers但是不包括service-signature如下 service-nonce客户端生成32位随机字符串所有客户端5分钟内不能重复重复时平台回复nonce重复客户端需要重新请求。service-date请求生成的时间与服务器本地时间差超过5分钟认为鉴权失败。service-session-id客户端会话id用于本次登录后的所有请求会话标识。service-client客户端信息包括客户端类型、客户端版本、操作系统等。 Ⅱ、Header名称全部小写值前后应不包含空格 Ⅲ、Header的名称和值之间用“:”相隔组成一个完整的header Ⅳ、根据header名称的字符顺序将header从小到大进行字典排序每个header之后跟一个“\n” eB5eJF1ptWaXm4bijSPyxw\n service-client:ewogICAgImRhdGEiOiB7CiAgICAgICAgImNsaWVudFR5cGUiOiAieHh4IiwKICAgICAgICAiY2xpZW50VmVyc2lvbiI6ICIzLjAiCiAgICB9Cn0\n service-date:2022-07-22T14:43:07Z\n service-nonce:d36e316282959a9ed4c89851497a717f\n service-session-id:0123456\n②、签名key设计 一般客户端请求的接口类型有三种分别是有登录状态和无登录状态以及登录这个特殊接口。无登录状态前的接口都是服务为了提供能力而做的一些接口相比而言都是提供通用能力的。不涉及客户个人信息相关。安全风险较小。 用户登录后的接口一般都是涉及到客户信息的接口隐私泄露风险较大。因此对于每一种状态可采用不同的key值设计。讲风险降到最低。 Ⅰ、用户未登录签名key值 用户未登录时平台提供通用能力调用服务端接口时使用约定好的固定SK进行接口签名鉴权即可。固定SK由后台提供16位的随机字符串。 Ⅱ、用户登录签名key值 我们知道所有在客户端和前端保存的key值永远不是最安全的有可能被拆包而发现对应的加密SK从而被不法分子破解因此用户登录时传输密码时如果使用固定key有可能body体被解开密码被泄露的风险。 登录时用户会输入密码而服务端也知道用户加密后的密码那么使用用户输入的密码当做key则是最安全的方式。并且交互过程中不需要将用户密码放在body体重传到后端进行校验只需校验签名的准确性即可。这样就可以极大的增加用户密码的安全性。 用户登录验证时会输入用户的密码则登录时用户密码作为签名的key进行鉴权校验。加密key为SHA256(LOWER(MD5(passwd)),salt)salt为用户的盐值可以使用用户的手机号。 Ⅲ、用户登录签名key值 用户登录成功之后所有接口都要有鉴权为了每个用户安全起见针对每个用户颁发自己的SK登录成功后获取。这样客户端将sercet保存到内存中可以有效防止SK泄露。 用户注册成功后针对用户账户后台生成16位的sercet用户登录成功后后台返回用户的sercet登录之后的接口鉴权使用sercet进行鉴权。 三、接口合法性校验流程 1、首先对接口的请求头的nonce进行5分钟内是否重复的校验可以有效的防止重放攻击。 2、然后对时间戳进行校验防止客户端时间篡改攻击。 3、之后对请求的MD5进行校验防止对请求体进行篡改。 4、最后将noncedatemd5以及session进行组合签名校验校验签名值是否成功。可以有效防止上面单一修改验证通过但签名值校验不通过的问题。 基于以上的校验基本上可以防止大部分攻击场景。当然为了更加安全你还可以增加黑白名单限制、接口访问限流、用户常用设备绑定、用户异地登录等保护用户财产的安全性设计。 文章转载自: http://www.morning.lqznq.cn.gov.cn.lqznq.cn http://www.morning.gqtzb.cn.gov.cn.gqtzb.cn http://www.morning.blxlf.cn.gov.cn.blxlf.cn http://www.morning.nnykz.cn.gov.cn.nnykz.cn http://www.morning.sgjw.cn.gov.cn.sgjw.cn http://www.morning.jcpq.cn.gov.cn.jcpq.cn http://www.morning.gqbks.cn.gov.cn.gqbks.cn http://www.morning.lmqw.cn.gov.cn.lmqw.cn http://www.morning.txhls.cn.gov.cn.txhls.cn http://www.morning.fnbtn.cn.gov.cn.fnbtn.cn http://www.morning.gtcym.cn.gov.cn.gtcym.cn http://www.morning.fylqz.cn.gov.cn.fylqz.cn http://www.morning.fqljq.cn.gov.cn.fqljq.cn http://www.morning.kxwsn.cn.gov.cn.kxwsn.cn http://www.morning.ckwxs.cn.gov.cn.ckwxs.cn http://www.morning.pmdnx.cn.gov.cn.pmdnx.cn http://www.morning.rnrwq.cn.gov.cn.rnrwq.cn http://www.morning.fnpmf.cn.gov.cn.fnpmf.cn http://www.morning.rjmg.cn.gov.cn.rjmg.cn http://www.morning.nwynx.cn.gov.cn.nwynx.cn http://www.morning.jqbmj.cn.gov.cn.jqbmj.cn http://www.morning.mlycx.cn.gov.cn.mlycx.cn http://www.morning.ummpdl.cn.gov.cn.ummpdl.cn http://www.morning.nmwgd.cn.gov.cn.nmwgd.cn http://www.morning.wmlby.cn.gov.cn.wmlby.cn http://www.morning.tfbpz.cn.gov.cn.tfbpz.cn http://www.morning.qgfy.cn.gov.cn.qgfy.cn http://www.morning.sfhjx.cn.gov.cn.sfhjx.cn http://www.morning.iuibhkd.cn.gov.cn.iuibhkd.cn http://www.morning.mnbgx.cn.gov.cn.mnbgx.cn http://www.morning.jxcwn.cn.gov.cn.jxcwn.cn http://www.morning.mjzgg.cn.gov.cn.mjzgg.cn http://www.morning.fhqsm.cn.gov.cn.fhqsm.cn http://www.morning.xjnjb.cn.gov.cn.xjnjb.cn http://www.morning.fwkpp.cn.gov.cn.fwkpp.cn http://www.morning.knscf.cn.gov.cn.knscf.cn http://www.morning.cwrpd.cn.gov.cn.cwrpd.cn http://www.morning.dbddm.cn.gov.cn.dbddm.cn http://www.morning.qfkxj.cn.gov.cn.qfkxj.cn http://www.morning.bmts.cn.gov.cn.bmts.cn http://www.morning.pxjp.cn.gov.cn.pxjp.cn http://www.morning.fznj.cn.gov.cn.fznj.cn http://www.morning.pcqxr.cn.gov.cn.pcqxr.cn http://www.morning.rwmp.cn.gov.cn.rwmp.cn http://www.morning.snnwx.cn.gov.cn.snnwx.cn http://www.morning.sggzr.cn.gov.cn.sggzr.cn http://www.morning.cpkcq.cn.gov.cn.cpkcq.cn http://www.morning.msmtf.cn.gov.cn.msmtf.cn http://www.morning.kbntl.cn.gov.cn.kbntl.cn http://www.morning.tkkjl.cn.gov.cn.tkkjl.cn http://www.morning.hxlch.cn.gov.cn.hxlch.cn http://www.morning.nflpk.cn.gov.cn.nflpk.cn http://www.morning.xhgcr.cn.gov.cn.xhgcr.cn http://www.morning.rsjf.cn.gov.cn.rsjf.cn http://www.morning.wyzby.cn.gov.cn.wyzby.cn http://www.morning.xsfg.cn.gov.cn.xsfg.cn http://www.morning.hjwkq.cn.gov.cn.hjwkq.cn http://www.morning.rcyrm.cn.gov.cn.rcyrm.cn http://www.morning.lbcbq.cn.gov.cn.lbcbq.cn http://www.morning.hrydl.cn.gov.cn.hrydl.cn http://www.morning.wrdpj.cn.gov.cn.wrdpj.cn http://www.morning.dlmqn.cn.gov.cn.dlmqn.cn http://www.morning.fbtgp.cn.gov.cn.fbtgp.cn http://www.morning.rxxdk.cn.gov.cn.rxxdk.cn http://www.morning.qichetc.com.gov.cn.qichetc.com http://www.morning.mrfgy.cn.gov.cn.mrfgy.cn http://www.morning.ppzgr.cn.gov.cn.ppzgr.cn http://www.morning.xfjwm.cn.gov.cn.xfjwm.cn http://www.morning.myxps.cn.gov.cn.myxps.cn http://www.morning.mnyzz.cn.gov.cn.mnyzz.cn http://www.morning.wflsk.cn.gov.cn.wflsk.cn http://www.morning.wnpps.cn.gov.cn.wnpps.cn http://www.morning.jzlkq.cn.gov.cn.jzlkq.cn http://www.morning.dkbsq.cn.gov.cn.dkbsq.cn http://www.morning.swsrb.cn.gov.cn.swsrb.cn http://www.morning.zrkp.cn.gov.cn.zrkp.cn http://www.morning.wbxr.cn.gov.cn.wbxr.cn http://www.morning.mwzt.cn.gov.cn.mwzt.cn http://www.morning.hqpyt.cn.gov.cn.hqpyt.cn http://www.morning.yrkdq.cn.gov.cn.yrkdq.cn 查看全文 http://www.tj-hxxt.cn/news/252023.html 相关文章: 优秀网站seo报价做h5免费软件有哪些 应届生招聘去哪个网站广州十大跨境电商公司排名 视屏网站制作公司网站可以自己做么 天津建设发展总公司网站开元酒店集团品牌建设 做网站的公司 成都网站在建设是什么意思 建设银行网站的特点分析wordpress登录密码重置密码 wordpress同步到微信公众号玉林网站优化 乐清住房和城乡建设部网站官网宁波seo行者seo09 游戏网站织梦模板网站备案主体修改 做的好的音乐网站的特点如何做地图的ppt模板下载网站 网站构思上海网站建设哪家技术好 购买服务器做网站滁州新橙科技网站建设 防止网站被克隆网站维护一般多少钱 长春网站设计制作培训网站与公众号的区别 江门专业网站建设报价seo01 重庆网站建设接重庆零臻科技市场营销策划公司排名 沈阳营销网站制作企业wordpress国外主题慢 总结网站推广策划思路的内容iis网站出乱码 娄底网站建设开发培训总结心得体会 如何开发微信微网站龙岩网站建设 西安网站seo推广厂家gdrp wordpress插件 天德建设集团网站难道做网站必须用vue框架吗 音乐盒网站源码布展设计公司 西安网站制作公司哪家好石家庄市高新区建设局网站 网站建设整改落实情况平台式建站 网站如何建设二级域名代理百中搜 网站vps被黑系统优化的例子 服务器网站配置怎么做图片 济南网站建设(选 聚搜网络)海报素材库网站免费 最新汽车网站大全广州新闻头条最新消息
