API接口安全-2：签名、时间戳与Token如何联手抵御攻击

zhulangfly

于 2025-06-30 22:15:00 发布

阅读量770

点赞数 23

CC 4.0 BY-SA版权

分类专栏：数据安全文章标签：安全

本文链接：https://blog.csdn.net/zhulangfly/article/details/149028586

数据安全专栏收录该内容

7 篇文章

订阅专栏

在API接口通信中，数据传输的安全性至关重要。无论是前端与后端的交互，还是企业间的接口对接，一旦缺乏有效的安全校验，攻击者可能通过抓包篡改参数（如修改订单金额）、重放攻击（重复提交支付请求）或未授权访问（伪造身份调用接口）等手段造成数据泄露或财产损失。

本文将聚焦API安全的三大核心机制——时间戳防重放、签名验完整性、Token验身份，通过原理拆解、示例演示和流程图解，带你掌握如何从零构建安全可靠的API接口防护体系。
在这里插入图片描述

一、为何需要API安全机制？从三个真实风险说起

风险1：参数篡改（前端→后端接口）

假设某电商APP的下单接口为 POST /api/order，参数包含 productId=1001&amount=1&price=999。若接口未做安全校验，攻击者可通过抓包工具将 price 改为 1，以1元购买999元商品。

风险2：重放攻击（第三方对接接口）

某支付平台的退款接口 POST /api/refund，参数为 orderId=P20230101&amount=1000。攻击者截获该请求后，可无限次重复发送，导致商户重复退款。

风险3：未授权访问（开放平台接口）

某开放平台的用户信息接口 GET /api/user，若仅通过简单的 user_id 参数查询，攻击者可遍历 user_id 获取所有用户数据。

解决方案：通过 Token验证身份 + 时间戳防重放 + 签名验完整性 三重机制，可有效抵御上述风险。三者的协同关系如下：

Token：确认“你是谁”（身份认证）；
时间戳：确认“请求是否过期”（防重放攻击）；
签名：确认“数据是否被篡改”（完整性校验）。

二、核心机制详解：如何用时间戳防重放？

1. 时间戳的作用：让过期请求失效

重放攻击指攻击者截获合法请求后，在有效期内重复发送以达到恶意目的（如重复支付、重复下单）。时间戳的核心逻辑是：请求必须在指定时间窗口内到达，否则视为无效。

2. 实现步骤：

（1）客户端生成时间戳

请求时添加 timestamp 参数，值为 Unix时间戳（秒级或毫秒级，建议毫秒级以提高精度），例如 timestamp=1719763200000（对应2024-07-01 00:00:00）。

（2）服务端校验时间差

服务端接收请求后，计算当前时间戳与请求 timestamp 的差值：

若差值 ≤ 预设阈值（如5分钟=300000毫秒），则请求有效；
若差值 > 阈值，则判定为“过期请求”，直接拒绝。

3. 示例：时间戳验证逻辑（Python代码）

import time

def verify_timestamp(timestamp: int, timeout: int = 300000) -> bool:
    """验证时间戳是否在有效期内（默认5分钟）"""
    current_timestamp = int(time.time() * 1000)  # 当前毫秒级时间戳
    time_diff = abs(current_timestamp - timestamp)
    return time_diff <= timeout

# 测试：合法请求（时间差2分钟）
valid_ts = 1719763200000  # 2024-07-01 00:00:00
print(verify_timestamp(valid_ts))  # True

# 测试：过期请求（时间差6分钟）
expired_ts = 1719763200000 - 6*60*1000
print(verify_timestamp(expired_ts))  # False

4. 注意事项：

时间同步：客户端与服务端需保持时间同步（可通过NTP服务校准），避免因时区或时钟偏差导致误判；
阈值设置：根据网络延迟调整（如公网接口设5分钟，内网接口设1分钟）；
毫秒级精度：建议用毫秒级时间戳（而非秒级），减少重放攻击窗口。

三、核心机制详解：如何用签名验证数据完整性？

1. 签名的作用：确保参数未被篡改

签名是通过对请求参数进行 排序、拼接、加密 生成的唯一字符串。服务端通过相同的规则重新计算签名，若与客户端传递的签名一致，则证明参数未被篡改。

2. 实现步骤：

（1）参数准备：排除签名本身，包含核心参数

客户端请求参数需包含：

业务参数（如 productId、amount）；
安全参数（timestamp、nonce（随机字符串，可选但推荐）、token）；
排除 signature 参数（避免循环依赖）。

（2）参数排序：按Key的ASCII码升序排列

为确保客户端与服务端生成的签名一致，需统一排序规则（ASCII升序是行业通用做法）。

例如，参数为 {"amount": 1, "method": "createOrder", "timestamp": 1719763200000, "token": "user_token_123"}，排序后为：
amount=1&method=createOrder&timestamp=1719763200000&token=user_token_123

（3）拼接密钥：加盐加密防伪造

在排序后的字符串末尾拼接 密钥（secret）（客户端与服务端预先约定，不可泄露），形成待加密字符串：
amount=1&method=createOrder&timestamp=1719763200000&token=user_token_123&secret=my_secret_key_888

（4）加密生成签名：使用不可逆算法

采用 SHA256 或 MD5（推荐SHA256，安全性更高）对上述字符串加密，生成签名：
signature=5f4dcc3b5aa765d61d8327deb882cf99（示例MD5结果）

（5）服务端验证：重复客户端步骤对比签名

服务端接收请求后，提取参数（排除 signature），按相同规则排序、拼接密钥、加密，若生成的签名与请求中的 signature 一致，则参数未被篡改。

3. 完整示例：签名生成与验证（Python代码）

import hashlib
import urllib.parse

def generate_sign(params: dict, secret: str) -> str:
    """生成签名：参数排序→拼接→SHA256加密"""
    # 1. 排除signature参数，按key ASCII升序排序
    sorted_params = sorted([(k, v) for k, v in params.items() if k != "signature"])
    # 2. 拼接为 key=value&key=value 格式（注意value需转义，如空格→%20）
    query_string = urllib.parse.urlencode(sorted_params)
    # 3. 拼接密钥
    sign_str = f"{query_string}&secret={secret}"
    # 4. SHA256加密（结果转小写）
    signature = hashlib.sha256(sign_str.encode()).hexdigest().lower()
    return signature

# 客户端：构造参数并生成签名
client_params = {
    "method": "createOrder",
    "productId": 1001,
    "amount": 1,
    "timestamp": 1719763200000,
    "token": "user_token_123",
    "nonce": "abc123"  # 随机字符串，进一步防重放
}
secret = "my_secret_key_888"  # 客户端与服务端约定的密钥
client_params["signature"] = generate_sign(client_params, secret)
print("客户端签名:", client_params["signature"])  # 输出：a3b5d7f9...（实际结果取决于参数）

# 服务端：验证签名
server_params = client_params  # 假设服务端接收的参数
server_sign = generate_sign(server_params, secret)
if server_sign == server_params["signature"]:
    print("签名验证通过：参数未被篡改")
else:
    print("签名验证失败：参数可能被篡改")