【java】签名验签防篡改研究测试

上一篇文章写了接口安全通过一次性校验码和时间戳可以防接口重放攻击、本篇将通过 signatrue签名模式进行研究性，知其所以然

说明本次实验是验证签名合法性该前端使用不安全加密，存在安全风险密钥在jsp中暴露

1、实现原理

2、前端

将 username 和 password 以及一个秘密密钥拼接在一起。例如：username + password + secretKey
使用 SHA-256 算法进行加密：通过 CryptoJS.SHA256 对拼接后的字符串进行加密。
生成 Base64 编码的签名：toString(CryptoJS.enc.Base64) 将加密结果转换成 Base64 编码便于传输

sign前端代码

<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<html lang="zh-CN">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>sginnatrue</title><script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.9-1/crypto-js.js"></script>
</head>
<body>
<h2>签名验签sign测试</h2>
<form id="loginForm" method="POST" action="/sign"><label for="username">用户名:</label><input type="text" id="username" name="username" required/><br/><label for="password">密码:</label><input type="password" id="password" name="password" required/><br/><!-- 加入时间戳和Nonce --><input type="hidden" name="timestamp" value="${timestamp}"/><input type="hidden" name="nonce" value="${nonce}"/><input type="hidden" name="signature" id="signature"/><button type="submit">登录</button>
</form>
<br/><p type="hidden" style="color:red">时间戳: ${timestamp}</p ><p type="hidden" style="color:red">一次性校验码: ${nonce}</p ><script>// 生成签名的函数function generateSignature(username, password) {const secretKey = "yourSecretKey"; // 后端验证签名时用的密钥（应该由后端安全管理）const data = username + password + secretKey; // 拼接数据const signature = CryptoJS.SHA256(data).toString(CryptoJS.enc.Base64); // 生成签名（Base64 编码）return signature;}// 在表单提交前生成签名并填入表单document.getElementById('loginForm').onsubmit = function (event) {const username = document.getElementById('username').value;const password = document.getElementById('password').value;const signature = generateSignature(username, password);// 填充隐藏的签名字段document.getElementById('signature').value = signature;}
</script>
</body>
<br/>
<p style="color:red">${error}</p >
<p style="color:red">${success}</p >
</html>

3、后端

后端使用相同的拼接规则和密钥，重新生成签名并与前端发送的签名进行比对。如果一致，则验证通过

 @GetMapping("/sign")public String showNonce1(Model model) {long timestamp = System.currentTimeMillis();String nonce = UUID.randomUUID().toString();model.addAttribute("timestamp", timestamp);model.addAttribute("nonce", nonce);return "sign";}@PostMapping("/sign")public String handleLogin(@RequestParam String username,@RequestParam String password,@RequestParam String signature,@RequestParam long timestamp,@RequestParam String nonce,Model model) throws NoSuchAlgorithmException {System.out.println("前端的签名：" + signature);String data = username + password + SECRET_KEY; // 数据拼接顺序与前端一致MessageDigest digest = MessageDigest.getInstance("SHA-256");byte[] hashBytes = digest.digest(data.getBytes());//System.out.println(hashBytes);String hou = Base64.getEncoder().encodeToString(hashBytes);if(hou.equals(signature)){System.out.println("验签成功");model.addAttribute("success", "  欢迎用户   "+username+"  验签成功！");return "home";}else{System.out.println("验签失败");model.addAttribute("error", "  "+ username+" 验签失败！");}return "fail";}