开放API接口验证机制设计与应用

背景

最近，公司由于业务繁忙人手不够，将部分业务外包给第三方公司做。在开发的过程中，遇到了外部调用内部敏感接口场景。为了保证接口的安全，基于微信公众号消息验证机制，实现了一套安全验证流程。

微信公众号消息验证流程

当开发者向微信提交信息（含 token 配置）后，微信服务器会发送携带参数的GET请求到开发者的服务器，携带的验证信息如下：

参数	描述
signature	加密签名
timestamp	时间戳
nonce	随机数
echostr	随机字符串

开发者将通过检验 signature对请求进行验证。验证流程如下：
1）将token、timestamp、nonce三个参数进行字典序排序
2）将三个参数字符串拼接成一个字符串进行sha1加密
3）开发者获得加密后的字符串可与signature对比，若相同，则验证成功。

总结一下微信验证的原理，通过比对开发者生成的签名与微信发送的签名，来验证请求是否合法。
微信与开发者共同维护一个 token（作为秘钥，不发生传递），使用相同的签名机制，得到相同的签名。

验证机制设计

签名流程

前提：接口提供方与接入方，协商维护一个token。可以看做双方维护的密钥。

1. 请求方携带参数请求接口，参数包括 signature、timestamp、nonce、业务参数。

例如，传送的参数如下：

signature: 8bbf7cde111af0c0655f578c5a84185e8f533880
timestamp: 1535253509
nonce: TyPoTPVYmp
user_id: 1

2. 将参数和 token 以字母升序（A-Z）排序，除去 signature。

特别注意：

• 参数名 以字母升序排序
• signature 不参与排序

const token = 'youthcity';
const { signature, timestamp, nonce, user_id } = ctx.request.query;
const unordered_params = {
  timestamp,
  nonce,
  user_id,
  token,
};

const ordered_params = {};
Object.keys(unordered_params).sort().forEach((key) => {
  ordered_params[key] = unordered_params[key];
});

3. 再以 'key=value'+ '&' + 'key=value'连接所有参数得到字符串。

let sign_str = Object.keys(ordered_params)
  .map((key) => `${key}=${ordered_params[key]}`)
  .join('&');

4. 将 sign_str 进行 sha1 加密

const expected_signature = crypto.createHash('sha1').update(sign_str).digest('hex');

服务端拦截规则设计

对于开放接口，主要面临3个安全问题：

1. 请求身份是否可信任
2. 请求的参数是否被篡改
3. 请求是否唯一（防止重放攻击）

将针对这三个问题，进行拦截设计。

1）验证请求参数是否包含 signature、timestamp、nonce、业务参数。若参数缺少或类型不合法，则返回错误码。

2）判断服务端接受请求时间与请求参数中的timestamp的时间差是否在合理的范围内（建议为正负 5min）。若时间差超过合理值，则请求过期，视为无效请求。（即使请求URL中的 timestamp被篡改，signature会对其合法性进行校验）

3）判断请求是否已被使用。根据 nonce，判断缓存中是否存在 KEY，若存在，则请求已被使用，返回错误码。若不存在，则以 nonce为KEY，写入缓存，并设置过期时间为 10min。

主要目的是为了防止重放攻击。避免请求参数被泄露，被其他方盗用攻击。

4）根据请求参数生成签名。对比签名是否相同。若相同，则进入业务逻辑，否则，进行拦截。

小结

通过 时间戳（timestamp）和随机数（nonce）我们可以防御大多数的请求重放攻击。随机数（nonce）可以防御短期的重放攻击，若随机数过期，则黑客可以绕过随机数的防御。这时，可以利用时间戳（timestamp）的长期防御，拦截请求。

优化与改进

1. 对于安全等级较高的接口，我们还可以利用IP白名单机制，进行防御。

总结

在签名验证设计中，我们将时间戳和随机数作为验证的一部分。主要目的是防止请求链接盗用。关于时间戳的有效范围，需要根据实际业务场景和接入方服务情况进行调整。时间范围太小，可能会导致接入方请求失败。时间范围太长，请求唯一性的保证就越弱。

此外，安全验证只能验证接入方是否合法。不能保证 token泄密或者受信任方滥用接口的情况。因此，需要在业务层面，根据具体情况进行二次防御设计。例如，记录调用历史，或限制每日调用频次限制。

参考资料

• 微信公众号开发 - 接入指南
• Wiki - Replay attack
• 微信公众平台的TOKEN安全验证
  
• 野狗 - 接口验证机制
• 开放平台api接口签名验证说明
• App开放接口api安全性—Token签名sign的设计与实现