補充一下樓上的答案��,重點說說重放攻擊問題���。
有可能請求被其他人抓包,拿來重復請求����。
那么設計思路是下面這樣的:
首先,所有方案在加密的時候都應該有一個約定的秘鑰���。保證攻擊者不能自己算出sign
方案A:驗證md5是否被請求過
這樣每次請求都有一個唯一的md5����,服務端在第一次完成請求后,把md5寫入緩存��。
下次處理請求之前先判斷一下有沒有這個md5���,如果有就代表是重復請求�����。
但有沒有想到這里有個缺點:
每一個請求都要寫一個md5進緩存��,請求量比較大的話非常占緩存
方案B:給參數(shù)里加個時間戳
如果時間差在60s以上�,代表這個請求是被別人抓取到了�����,拿來做重復請求攻擊���。
這種方案也有缺點:
客戶端和服務端的時間一致性要求比較高�����。
終極方案:兩個結合一下��。
時間戳+md5
1�����、時間差120s以上代表重復請求
2���、md5寫緩存���,緩存時長120s(大于等于上面的值就行),判斷如果有md5代表重復請求
這樣相對比較好的解決了重復請求問題��。
