后台处理WebAPI请求的服务端安全问题:请求重放(例如抢月饼场景,程序员直接通过脚本访问接口)参数篡改(例如。在session劫持场景中,将本应抢购的月饼的所有者更改为自己)脚本攻击(如结合前两种场景,利用技术手段构造请求进行攻击,如信息窃取、漏洞攻击)Trusted客户端请求(eg.以上所有场景根本原因是接入客户端不可信任不可伪造)解决方案是对请求参数+cnonce(客户端生成的一次性随机字符串)进行哈希签名,使用secret作为salt值,并将签名作为header值传递给服务端终端在redis中检查是否存在重复签名,如果存在重复则直接拒绝请求(以防止请求重播)。服务端对签名值校验通过后,将签名值作为键值,存储到redis中的整体流程如下图所示:代码示例前端使用示例(TypeScriptVue3版本):签名机制示例,服务端收到请求时,同时获取签名值和cnonce一次性字符串,按照如下相同的签名序列进行签名,比较签名p由前端和ser加入验证ver端生成的签名:constencryptedSign=(message:string,cnonce:string):string=>{constsecret='XXXXXXX'//签名salt值可以自己生成,生成后rust应用需要重新编译生成一个新的wasm包.toUpperCase()}签名机制示例(rust版本):externcratewasm_bindgen;usering::hmac;usering::digest::{Context,SHA256};usedata_encoding::BASE64;usedata_encoding::HEXUPPER;usewasm_bindgen::prelude::*;#[wasm_bindgen]pubfnron_weasley_sign(message:&str,cnonce:&str)->String{constSECRET:&str=std::env!("SECRET");letmutcontext=Context::new(&SHA256);context.update(格式!("{}|{}",cnonce,message).as_bytes());letsha256_result=context.finish();letsha256_result_str=format!("{}",HEXUPPER.encode(sha256_result.as_ref()));letkey=hmac::密钥::新(hmac::HMAC_SHA512,SECRET.as_bytes());letmac=hmac::sign(&key,sha256_result_str.as_bytes());letb64_encoded_sig=BASE64.encode(mac.as_ref());returnb64_encoded_sig.to_uppercase();}先在项目的github地址https://github.com/swearer23/ron构建rust源码并生成对应的二进制包-weasley下载源码后,按照README文件中安装编译环境的步骤(以*nix环境为例)安装cargo。由于我们使用cargo作为rust环境的管理器,所以第一步是安装cargo。安装完成后在命令行输入cargo-v查看是否安装成功cargo-v#可能需要重启终端Rust的spackagemanagerUSAGE:cargo[+toolchain][OPTIONS][SUBCOMMAND]OPTIONS:-V,--versionPrintverboseinfoandexit--listListinstalledcommands--explainRun`rustc--explainCODE`-v,--verboseUverboseoutput(-vvveryverbose/build.rsoutput)-q,--quietNooutputprintedtostdout--color
