登录接口被碰撞攻击怎么处理？

Pon 的个人博客 / 333 / 9 / 创建于 3周前

目前系统的账号密码登录接口有人再碰撞账号密码，之前前后端使用的AES 加密，因为key在前端写死的，所以加密基本没用。最初对方使用的同一个ip 后面拉黑了，现在使用的是动态的ip。接口是ios/android/web端都在用，通过header传的自定义的字段区分的，web端加了google的人机验证，对方就没有从web端攻击了，但是app 之前发布的版本是没有加google验证的，如果接口强行加上google验证，之前版本的app 就用不了。大佬们怎么处理这种情况更稳妥些？

本作品采用《CC 协议》，转载必须注明作者和本文链接

Pon

课程读者 39 声望

暂无个人描述~

0 人点赞

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

博客

dcat-admin多应用后台高效实现免密登陆其它后台 25 / 12 |

被裁了兄弟们有没有比较新一点的面试题呀太难了感谢 21 / 55 |

博客

Laravel Excpetions(错误处理) 源码分析 15 / 1 |

博客

Laravel 实用小技巧——日志告警功能应该怎么做？ 18 / 4 |

博客

高效办公小技巧——如何批量处理 SQL 文件？ 19 / 11 |

博客

接口的幂等性解决方案 10 / 0 |

讨论数量: 9

yyy123456

课程读者 357 声望

入口需要特殊路径，比如http://m.com/777YUGKdufE.php，乱码一样的文件名。或路径也行。

3周前评论

唐章明

你要笑死我，你是thinphp用户吧

Imuyu

课程读者 876 声望

这就属于cc或者ddos攻击了，不同的ip，设备标识，服务端无法区分，可以上防火墙，或者专门的cc服务

3周前评论

gyp719

课程读者 273 声望

AES 加密肯定是没有加上时间戳的校验

// 生成签名
    protected function generateUserApplySign($headers, $secretKey): string
    {
        // 移除 Api-Sign 字段
        if (isset($headers['Api-Sign'])) {
            unset($headers['Api-Sign']);
        }
        ksort($headers);

        $buff = '';
        foreach ($headers as $k => $v) {
            if ($v != "" && !is_array($v)) {
                $buff .= $k . "=" . $v . "&";
            }
        }
        // 去除最后一个&
        $string = trim($buff, "&");
        // 在string后加入KEY
        $string = $string . "&key=" . $secretKey;
        // sha256加密
        $string = hash_hmac('SHA256', $string, $secretKey);
        // 所有字符转为大写
        return strtoupper($string);
    }

  /**
     * 签名验证
     * @param Request $request
     * @return bool
     * @throws InvalidRequestException
     */
    protected function verifyUserApplySign(Request $request): bool
    {
        $requiredHeaders = ['Api-Appid', 'Api-Nonce-Str', 'Api-Timestamp', 'Api-Sign'];

        foreach ($requiredHeaders as $header) {
            if (!$request->headers->has($header)) {
                throw new InvalidRequestException($header . ' 不能为空');
            }
        }
        // 判断 Api-Appid 是否正确
        $userApplySecret = UserApplySecret::query()->where('app_id', $request->headers->get('Api-Appid'))->first();
        if (!$userApplySecret) {
            throw new InvalidRequestException('Api-Appid 不存在');
        }
        if (!$userApplySecret['is_valid']) {
            throw new InvalidRequestException('Api-Appid 已失效');
        }
        // 判断是否过期
        if (Carbon::now()->gt($userApplySecret['valid_at'])) {
            throw new InvalidRequestException('Api-Appid 已过期');
        }
        // 判断请求次数是否超限
        if ($userApplySecret['request_count'] >= $userApplySecret['available_count']) {
            throw new InvalidRequestException('Api-Appid 请求次数已超限');
        }

        $headers = [
            'Api-Appid'     => $request->headers->get('Api-Appid'),
            'Api-Nonce-Str' => $request->headers->get('Api-Nonce-Str'),
            'Api-Timestamp' => $request->headers->get('Api-Timestamp'),
            'Api-Sign'      => $request->headers->get('Api-Sign'),
        ];

        if ($userApplySecret['time_out'] && !$this->allowTimestamp($headers['Api-Timestamp'], $userApplySecret['time_out'])) {
            throw new InvalidRequestException('Api-Timestamp 超时');
        }

        // 生成签名
        $sign = $this->generateUserApplySign($headers, $userApplySecret['secret_key']);

        Log::info('Api-User-Sign: ', ['generateUserApplySign' => $sign, 'Api-User-Sign' => $headers['Api-Sign']]);

        if (!hash_equals($sign, $headers['Api-Sign'])) {
            throw new InvalidRequestException('Api-Sign 不正确');
        }
        // 请求成功, 记录请求次数
        $userApplySecret->increment('request_count');

        return true;
    }