防止接口重放

内容来源（公众号：PHP版WEB项目）在接口调用业务或生成业务数据环节中（如短信验证码、邮件验证码、订单生成、评论提交等），对其业务环节进行多次调用测试。如果业务经过调用后多次生成有效的业务或数据结果，则称为重放。

重放攻击（Replay Attacks）又称重播攻击、回放攻击，这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求，进行一定的处理后，再把它重新发给认证服务器。这是攻击者常用的攻击方式。

1　使用时间戳

每次HTTP请求，将当前的时间戳[1]保存在timestamp参数中，然后把时间戳和其他参数一起进行数字签名，发送到服务端。因为一次正常的HTTP请求，从发出到达服务器一般不会超过60秒，所以服务器收到HTTP请求之后，首先判断时间戳参数与当前时间相差是否超过了60秒，如果超过则认为是非法的请求。

下面代码中展示的是使用时间戳签名。

下面代码中展示的是对时间戳的验证。

60){die("请求超时");      }

一般情况下，攻击者抓包重放请求耗时远远超过60秒，所以此时请求中的timestamp参数已经失效。由于攻击者不知道Token，没有办法生成新的数字签名，如果攻击者修改timestamp参数为当前的时间戳，则sign参数对应的数字签名就会失效。如果在60秒之内进行重放攻击，那就没办法了，所以这种方式不能保证请求仅一次有效。

2　使用Nonce

正如前文所述，Nonce是Number once的缩写，在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。

生成一个仅一次有效的随机字符串，要求每次请求时，该参数要保证唯一。例如可以使用客户端的IP地址，加上时间戳作为Nonce进行签名。

使用签名的代码如下。

将每次请求的Nonce参数存储到一个“集合”中，如可以存储在Redis的集合中。每次处理HTTP请求时，首先判断该请求的Nonce参数是否在该“集合”中，如果存在则认为是非法请求。

验证签名的代码如下。

sget("nonceList");if( in_array($nonce,$nonceList) ){die("请求仅一次有效");      }

Nonce参数在首次请求时，已经被存储到“集合”中，再次发送请求会被识别并被拒绝。Nonce参数作为数字签名的一部分，是无法篡改的，因为攻击者不清楚Token，所以不能生成新的sign。

当然，这种方式也有很大的问题，那就是存储Nonce参数的“集合”会越来越大，验证Nonce是否存在于“集合”的耗时就会越来越长。为了不让Nonce“集合”走向“无限大”，需要定期清理该“集合”，但是一旦该“集合”被清理，就无法验证被清理了的Nonce参数。也就是说，假设该“集合”平均一天清理一次，抓取到的该URL，虽然当时无法进行重放攻击，但是还是可以每隔一天进行一次重放攻击的。而且存储24小时内，所有请求的Nonce参数，也将会是一笔不小的开销。

3　同时使用时间戳和Nonce

通常同时使用时间戳和Nonce来防止重放。Nonce的一次性可以解决timestamp参数60秒的问题，时间戳可以解决Nonce参数“集合”越来越大的问题。在时间戳方案的基础上，加上Nonce参数，是因为timstamp参数对于超过60秒的请求都认为非法请求，所以只需要存储60秒的Nonce参数的“集合”即可。

同时使用时间戳和签名的代码如下。

验证参数防止重放的代码如下。

sget("nonceList");//设置集合的失效时间60秒if(empty($nonceList)){$redis->explre("nonceList",60);    }//判断时间戳参数是否有效if( $nowTime - $timestamp>60){die("请求超时");    }//判断Nonce参数是否在“集合”已存在if( in_array($nonce,$nonceList) ){die("请求仅一次有效");    }//验证数字签名if( $sign != md5($userInfo.$token.$nonce.$timestamp) ){die("数字签名验证失败");    }//记录本次请求的Nonce参数$redis->sadd("nonceList", $nonce);

如果在60秒内重放该HTTP请求，因为Nonce参数已经在首次请求时被记录在服务器的Nonce“集合”中，所以会被判断为非法请求。超过60秒之后，timestamp参数就会失效。

在60秒之内的重放攻击可以由Nonce参数保证，超过60秒的重放攻击可以由timestamp参数保证。Nonce参数只会在60秒之内起作用，所以只需要保存60秒之内的Nonce参数即可。并不一定要每个60秒去清理该Nonce参数的集合，只需要在新的Nonce到来时，判断Nonce集合最后一次修改时间，超过60秒，就清空该集合，存放新的Nonce参数集合。其实Nonce参数集合可以存放得时间更久一些，但是最少是60秒。