数据安全防护方案之签名校验--中介机构是否更改此证书?
假设中介伪造了证书的原始文本,它没有CA引擎的私钥,在加密和伪造相应的签名后无法获得签名。如果浏览器收到证书并发现原始和签名解密的值不匹配,则会修改该证书,并且该证书不受信任,因此服务器不会向服务器发送信息,并防止信息泄露给中介。
中介是否丢失证书?
如果您假设其他站点B已获得CA认证证书,则需要获取站点a信息。因此,如果代理阻止从a发送到浏览器的证书,并将其替换到其浏览器并将其发送到浏览器,则浏览器将错误地获取B证书上的公钥。这可能会导致“中介攻击”中列出的漏洞。实际上,这种情况不会发生。证书包含有关站点a的信息。通过将证书的域名与您请求的域名进行比较,可以找到域名。
数据安全防护方案之签名校验--接口验证概述
接口的安全性主要集中在令牌、时间戳和签名三种机制上,避免了接口数据被篡改或调用的事实。
1、令牌身份验证机制:
当用户使用用户名和密码登录时,服务器将令牌(通常为UUID)返回给客户端,并将令牌userid作为密钥对存储在缓存服务器中。服务器在接收到请求后进行身份验证。如果令牌不存在,则禁用该请求。令牌是客户端访问服务器的证书。
2、时间戳超时机制:
每次用户请求时,都会有一个带有当前时间的时间戳,并在收到时间戳后将服务端与当前时间进行比较。如果时差大于时差(如5分钟),则请求将无效。时间戳机制是保护DoS攻击的有效手段。
3、签名机制:
向其他请求参数添加令牌和时间戳,并在MD5或SHA-1算法中对其进行加密(可能添加salt)。加密数据是这次的签名。服务器接收请求并使用相同的算法接收签名,并将其与当前签名进行比较。如果参数更改,则直接返回错误标志。签名机制确保数据不被篡改。
4、拒绝重复调用(非必需):
当客户端首次访问缓存服务器的签名时,设置超时时间以匹配时间戳超时时间。时间戳超时或外部URL只能访问时间匹配。如果您可以使用相同的URL访问另一个缓存,则如果缓存服务器已经具有此签名,它将拒绝该服务。如果缓存签名被禁用,则会有人使用相同的URL再次访问,并且时间戳机制会被超时机制阻止。这就是为什么要设置时间戳超时时间以匹配时间戳超时。重复呼叫拒绝机制确保即使URL被另一个人获取(例如获取数据),该URL也不可用。
