极客观点
项目管理
HarmonyOS
在网上看到一个方案是:“客户端将参数排序进行MD5加密后,得到sign。 服务端再次将你的参数排序进行MD5加密,比较两次得到的值,相同校验成功。为了防止抓包,然后不停发送攻击的包“
这样做 咋就能防止攻击了呢?
攻击者也可以进行 把参数MD5加密后发给服务器啊。
java
补充一下楼上的答案,重点说说重放攻击问题。
有可能请求被其他人抓包,拿来重复请求。
那么设计思路是下面这样的:
首先,所有方案在加密的时候都应该有一个约定的秘钥。保证攻击者不能自己算出sign
方案A:验证md5是否被请求过
这样每次请求都有一个唯一的md5,服务端在第一次完成请求后,把md5写入缓存。
下次处理请求之前先判断一下有没有这个md5,如果有就代表是重复请求。
但有没有想到这里有个缺点:
每一个请求都要写一个md5进缓存,请求量比较大的话非常占缓存
方案B:给参数里加个时间戳
如果时间差在60s以上,代表这个请求是被别人抓取到了,拿来做重复请求攻击。
这种方案也有缺点:
客户端和服务端的时间一致性要求比较高。
终极方案:两个结合一下。
时间戳+md5
1、时间差120s以上代表重复请求
2、md5写缓存,缓存时长120s(大于等于上面的值就行),判断如果有md5代表重复请求
这样相对比较好的解决了重复请求问题。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
求救,我现在想批量给500多台线上linux服务器下发脚本有什么好用的图形化工具推荐嘛?
一台一台执行太慢了,有什么工具推荐,后期可能要经常批量推送。7 回答5.3k 阅读
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.2k 阅读
为什么在 aws 新开 ec2 机器不显示价格?
我选了一个 72core 192 GB 的 ec2 机器,居然都不显示价格,这我怎么敢「启动实例」aws 怎么看价格呢?4 回答4k 阅读
linux 如何在执行一段命令前执行一个自定义脚本?
例如一般情况下输入 ls 会列出当前目录下的文件,有什么方法可以在列出这些文件前先执行一段自定义的脚本,如果脚本执行成功才列出这些文件2 回答5.9k 阅读✓ 已解决
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
springboot业务代码能否动态加载和更新?
目前的问题是业务模块会持续增加,每个模块的开发不影响其他任何部分代码,所以我想的是,是否可以jvm启动一个主进程,主进程是一个springboot项目,只是没有各个业务模块的功能。然后各个业务模块可以以插件的形式动态加载和更新。3 回答6k 阅读
如果只做md5,一般要在md5时候,加一个appkey之类的东东,或者说salt,这个东东是不通过参数传递的(前后端都知道值),这样就防止别人篡改和构造请求了。
如果同时做md5和加密,也可以,密钥不传就可以了。