为了设计一个防刷(防止滥用或过度请求)的接口,可以采用以下几个常见的技术和策略:
1. 速率限制(Rate Limiting)
限制每个IP地址或用户在一定时间内的请求次数。例如,可以限制每个用户每分钟最多发送100次请求。
2. CAPTCHA 验证
在重要操作(如用户注册、登录、提交表单等)前加入CAPTCHA验证,以确保请求是由真人发出。
3. 请求签名
使用API密钥和签名来验证请求的真实性。每个请求附带一个签名,服务器端验证签名的有效性。
4. IP 黑名单/白名单
对可疑IP地址进行屏蔽(黑名单)或只允许特定IP地址访问(白名单)。
5. 行为分析
通过分析用户行为模式,检测并阻止异常请求。
6. 请求延迟(Throttling)
在短时间内有大量请求时,逐渐增加请求的延迟时间。
结合速率限制和CAPTCHA的防刷设计
假设我们要设计一个用户登录接口,并添加防刷机制:
速率限制
使用速率限制中间件,例如
express-rate-limit
(Node.js)或
django-ratelimit
(Django):
Node.js 示例:
const rateLimit = require('express-rate-limit');
const loginLimiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 minutes
max: 100, // limit each IP to 100 requests per windowMs
message: "Too many login attempts from this IP, please try again after 15 minutes"
});
app.post('/login', loginLimiter, (req, res) => {
// Handle login logic here
});
CAPTCHA 验证
在用户超过一定次数的登录尝试后,要求进行CAPTCHA验证。
前端示例:
<form id="login-form" action="/login" method="POST">
<input type="text" name="username" required>
<input type="password" name="password" required>
<div id="captcha-container"></div>
<button type="submit">Login</button>
</form>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<script>
const loginForm = document.getElementById('login-form');
loginForm.addEventListener('submit', function(event) {
// Check if CAPTCHA is needed
if (needCaptcha) {
event.preventDefault();
grecaptcha.execute();
}
});
function onCaptchaVerified(token) {
loginForm.submit();
}
</script>
后端示例:
const { verifyCaptcha } = require('./captcha');
app.post('/login', loginLimiter, async (req, res) => {
const { username, password, captchaToken } = req.body;
if (tooManyAttempts(username)) {
const captchaValid = await verifyCaptcha(captchaToken);
if (!captchaValid) {
return res.status(400).json({ message: "Invalid CAPTCHA" });
}
}
// Handle login logic here
});
请求签名
确保每个请求都包含有效的签名和时间戳,以防止重放攻击。
请求示例:
POST /login HTTP/1.1
Host: example.com
Content-Type: application/json
X-Api-Key: abc123
X-Signature: d4f8g9h0j2k1l3m4n5
X-Timestamp: 1613145593
{
"username": "testuser",
"password": "password123"
}
后端验证签名:
const crypto = require('crypto');
function verifySignature(req) {
const apiKey = req.headers['x-api-key'];
const signature = req.headers['x-signature'];
const timestamp = req.headers['x-timestamp'];
const secret = getSecretForApiKey(apiKey);
const expectedSignature = crypto.createHmac('sha256', secret)
.update(`${req.method}${req.path}${timestamp}${JSON.stringify(req.body)}`)
.digest('hex');
return signature === expectedSignature;
}
app.post('/login', loginLimiter, (req, res) => {
if (!verifySignature(req)) {
return res.status(401).json({ message: "Invalid signature" });
}
// Handle login logic here
});
请求签名设计
请求签名机制可以有效防止重放攻击和伪造请求。以下是一个完整的设计和实现示例,包括签名的生成和验证。
签名设计思路
- 使用固定的API密钥和秘密(secret key)生成签名。
- 每个请求包含时间戳,防止重放攻击。
- 签名是对请求的HTTP方法、URL路径、时间戳、请求体等组合进行哈希运算生成的。
签名生成步骤
- 将请求的各个部分按规定顺序拼接成一个字符串。
- 使用秘密(secret key)对拼接后的字符串进行HMAC-SHA256哈希运算,得到签名。
- 将签名和时间戳添加到HTTP请求头中。
签名验证步骤
- 服务器接收到请求后,提取签名和时间戳。
- 验证时间戳是否在允许的时间窗口内(例如5分钟内)。
- 使用同样的方法生成签名并与请求中的签名比较,如果匹配则请求有效。
示例实现
客户端生成签名并发送请求
假设我们使用Node.js来生成签名:
const crypto = require('crypto');
const axios = require('axios');
const apiKey = 'your_api_key';
const secretKey = 'your_secret_key';
const requestUrl = 'https://example.com/api/resource';
const method = 'POST';
const requestBody = JSON.stringify({
username: 'testuser',
password: 'password123'
});
const timestamp = Math.floor(Date.now() / 1000);
// 创建待签名的字符串
const dataToSign = `${method}${requestUrl}${timestamp}${requestBody}`;
// 使用secretKey生成HMAC-SHA256签名
const signature = crypto.createHmac('sha256', secretKey)
.update(dataToSign)
.digest('hex');
// 发送带签名的请求
axios({
method: method,
url: requestUrl,
headers: {
'Content-Type': 'application/json',
'X-Api-Key': apiKey,
'X-Signature': signature,
'X-Timestamp': timestamp
},
data: requestBody
})
.then(response => {
console.log(response.data);
})
.catch(error => {
console.error('Error:', error.response ? error.response.data : error.message);
});
服务器端验证签名
假设我们使用Node.js和Express来验证签名:
const express = require('express');
const crypto = require('crypto');
const app = express();
app.use(express.json());
const secretKey = 'your_secret_key';
const MAX_TIME_DIFF = 300; // 允许的时间差,单位为秒,这里设置为5分钟
function verifySignature(req) {
const apiKey = req.headers['x-api-key'];
const signature = req.headers['x-signature'];
const timestamp = req.headers['x-timestamp'];
const currentTimestamp = Math.floor(Date.now() / 1000);
// 验证时间戳是否在允许的时间窗口内
if (Math.abs(currentTimestamp - timestamp) > MAX_TIME_DIFF) {
return false;
}
// 创建待签名的字符串
const dataToSign = `${req.method}${req.originalUrl}${timestamp}${JSON.stringify(req.body)}`;
// 使用secretKey生成HMAC-SHA256签名
const expectedSignature = crypto.createHmac('sha256', secretKey)
.update(dataToSign)
.digest('hex');
// 比较签名
return signature === expectedSignature;
}
app.post('/api/resource', (req, res) => {
if (!verifySignature(req)) {
return res.status(401).json({ message: "Invalid signature" });
}
// 处理合法请求
res.status(200).json({ message: "Request successful" });
});
app.listen(3000, () => {
console.log('Server is running on port 3000');
});
关键点总结
- API密钥和秘密(secret key):用于生成和验证签名。它们需要保密,不应泄露。
- 时间戳:防止重放攻击。请求中必须包含时间戳,并且时间戳需要在合理的时间窗口内。
- 签名生成:使用HMAC-SHA256对请求的重要部分(方法、URL、时间戳、请求体)进行哈希运算生成签名。
- 签名验证:服务器端通过相同的方式生成签名并与请求中的签名进行比较,以验证请求的有效性。
通过这种方式,可以有效防止API被滥用,确保请求的合法性。
综合使用
将这些方法结合使用,可以显著提高接口的安全性和防刷能力。确保在实现每种防护机制时,充分考虑用户体验,避免对正常用户造成困扰。
本文转载自: https://blog.csdn.net/sunyctf/article/details/140519672
版权归原作者 儒雅的烤地瓜 所有, 如有侵权,请联系我们删除。
版权归原作者 儒雅的烤地瓜 所有, 如有侵权,请联系我们删除。