一種多因子策略混合Token簽名算法

1、    一種多因子策略混合token簽名算法    程治勝摘要    token是用戶登陸的唯一票據(jù)，只要app傳來的token和服務(wù)器端一致，就能證明已經(jīng)成功登陸。但是token機(jī)制不是萬能的，token就像一把鑰匙，只要有了這把鑰匙就可以從服務(wù)器中獲取到系統(tǒng)數(shù)據(jù)，而token在客戶端或者在傳輸過程中可能存在被截獲的風(fēng)險(xiǎn)。因此本文使用函數(shù)運(yùn)算，另外構(gòu)造一個(gè)多因子策略混合token簽名，以降低token被截獲后的影響，提高app開放接口認(rèn)證的安全性。【關(guān)鍵詞】token認(rèn)證 簽名sign 多因子策略混合1 token的作用最

2、近幾年，隨著大數(shù)據(jù)以及人工智能等技術(shù)的產(chǎn)業(yè)化應(yīng)用，對于移動(dòng)應(yīng)用的攻擊出現(xiàn)了新的趨勢。越來越多的黑灰產(chǎn)從業(yè)人員正在利用app端的接口信息開發(fā)工具，非法獲取信息，或者進(jìn)行薅羊毛等黑灰產(chǎn)業(yè)。其技術(shù)原理主要是通過分析和破解接口的通訊協(xié)議，模擬客戶端發(fā)送報(bào)文，從而獲取用戶數(shù)據(jù)，如果在開發(fā)過程中認(rèn)證有缺陷，就極易被攻擊者攻擊，泄露數(shù)據(jù)甚至是客戶的隱私信息，也會對企業(yè)的業(yè)務(wù)造成很大影響。因?yàn)閍pp端沒有和pc端一樣的session機(jī)制，所以無法判斷用戶是否登陸，以及無法保持用戶狀態(tài)，所以就需要一種機(jī)制來實(shí)現(xiàn)session，這就是token的作用。2 token的原理及缺陷token是用戶登陸的唯一票據(jù)，只要

3、app傳來的token和服務(wù)器端一致，就能證明你已經(jīng)登陸?？蛻舳送ㄟ^api向服務(wù)器端發(fā)送（用戶名和密碼）進(jìn)行登陸認(rèn)證，服務(wù)器端接收到該請求后，驗(yàn)證用戶信息是否正確。如果正確，則返回一個(gè)唯一不重復(fù)的字符串uid，然后在redis（任意緩存服務(wù)器）中維護(hù)token與uid的用戶信息關(guān)系，以便其他api對token的校驗(yàn)。判斷token是否有效，根據(jù)請求過來的token，查詢r(jià)edis緩存中的uid，如果獲取不到這說明該token已過期。服務(wù)器接收到接口請求后，根據(jù)用戶獲取api_token，然后按簽名規(guī)則生成簽名，并與接口參數(shù)簽名對比，如果相同，則執(zhí)行業(yè)務(wù)方法。簽名如下：sign=md5（uid+

4、timestamp+randomstring+salt1+token）其中，客戶端通過api向服務(wù)器端發(fā)送（用戶名和密碼）進(jìn)行登陸認(rèn)證，服務(wù)器端接受到該請求后，驗(yàn)證用戶信息是否正確。如果正確，則返回一個(gè)唯一不重復(fù)的字符串uid;timestamp一般用來給服務(wù)器驗(yàn)證請求時(shí)間區(qū)間，5-30分鐘不等，明文顯示;randomstring作為簽名的參數(shù)作用不大，明文顯示。salt1：為客戶端與服務(wù)端保留，是個(gè)常量。一般不在接口中傳遞。但是，將app放進(jìn)模擬器或者反編譯，就能獲得salt1;token是app登錄后，服務(wù)端返回給客戶端的一個(gè)憑證，app會將其存在客戶端，下次再打開app時(shí)，直接讀toke

5、n，傳token到服務(wù)端做驗(yàn)證，免去重新輸入用戶密碼的麻煩。但是token機(jī)制不是萬能的，token就像一把鑰匙，只要有了這把鑰匙就可以從服務(wù)器中獲取到系統(tǒng)數(shù)據(jù)，而token在客戶端或者在傳輸過程中可能存在被截獲的風(fēng)險(xiǎn)，萬一token在客戶端或者在傳輸過程中被截獲怎么辦？3 多因子策略混合token簽名算法本文構(gòu)造了一個(gè)多因子策略混合token簽名，通過函數(shù)運(yùn)算得到：new_token=（uid，timestamp，randomstringtoken，salt），為函數(shù)名new_token不在接口中傳輸，把new_token也放到sign簽名中：sign=md5（uid+timestamp+r

6、andomstring+salt1+token+new_token）其中，每次接口請求都要在客戶端構(gòu)造new_token，并將其發(fā)送至服務(wù)器端進(jìn)行驗(yàn)證，可以防止即便token被截獲和salt1被破解，客戶端的請求sign簽名中的new_token與服務(wù)器端的new_token相符才能獲得授權(quán)。此外，我們還可以通過ip和deviceid進(jìn)行限制，進(jìn)一步提高認(rèn)證的安全性，具體如下：new_token=（uid，timestamp，randomstring，token，salt，ip，deviceid）從而得到：sign=md5（uid+timestamp+randomstring+salt1+to

7、ken+new_token）4 結(jié)束語本文僅研究了提高app開放接口認(rèn)證的安全性的一種多因子策略混合token簽名算法，app接口認(rèn)證的方式是仁者見仁智者見智，各種方式，各種結(jié)構(gòu)，各有優(yōu)缺點(diǎn)，但共同的目的一方面要防止用戶篡改請求參數(shù)，另一方面請求偽造及重復(fù)發(fā)送，第三保證用戶來源合法。對于敏感的api接口，需使用https協(xié)議，https是在http超文本傳輸協(xié)議加入ssl層，它在網(wǎng)絡(luò)間通信是加密的，所以需要加密證書，且https協(xié)議需要ca證書，會產(chǎn)生一定的費(fèi)用，成本相對較高。參考文獻(xiàn)1諾蘭g.（godfrey的android appm.人民郵電出版社出版，2016：140-143.2app接口安全性設(shè)計(jì)淺析，https：/3基于token的身份驗(yàn)證和安全問題，https：/4web安全之token，https：/5app接口安全token設(shè)計(jì)，https：/6webapi安全性使用token+簽名驗(yàn)證，https：/電子技術(shù)與軟件工程2019年5期電子技術(shù)與軟件工程的其它文章新高