CN114422139A - Api网关请求安全验证方法、装置、电子设备及计算机可读介质 - Google Patents

Api网关请求安全验证方法、装置、电子设备及计算机可读介质 Download PDF

Info

Publication number
CN114422139A
CN114422139A CN202111552329.5A CN202111552329A CN114422139A CN 114422139 A CN114422139 A CN 114422139A CN 202111552329 A CN202111552329 A CN 202111552329A CN 114422139 A CN114422139 A CN 114422139A
Authority
CN
China
Prior art keywords
request
api
time
server
api gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111552329.5A
Other languages
English (en)
Other versions
CN114422139B (zh
Inventor
韩伟伟
刘佳利
丁文涛
王昱媛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Pudong Development Bank Co Ltd
Original Assignee
Shanghai Pudong Development Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Pudong Development Bank Co Ltd filed Critical Shanghai Pudong Development Bank Co Ltd
Priority to CN202111552329.5A priority Critical patent/CN114422139B/zh
Publication of CN114422139A publication Critical patent/CN114422139A/zh
Application granted granted Critical
Publication of CN114422139B publication Critical patent/CN114422139B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种API网关请求安全验证方法、装置、电子设备及计算机可读介质,在客户端发起的请求中添加以当前时间生成的时间戳信息,随后将请求发出;API网关获取客户端发送的请求内容,并获取请求报文中的时间戳信息;API网关以当前服务器时间与请求报文中的时间戳进行比对,判断是否允许请求通过,若请求通过,允许请求到达服务端,服务端处理请求后返回处理结果,否则直接拒绝请求。与现有技术相比,本发明具有不依赖于数据库与中间件,保证该功能的可靠性,防止攻击者的恶意重复操作等优点。

Description

API网关请求安全验证方法、装置、电子设备及计算机可读 介质
技术领域
本发明涉及计算机技术领域,尤其是涉及一种API网关请求安全验证方法、装置、电子设备及计算机可读介质。
背景技术
互联网的开放性造就了其繁荣。随着互联网的发展,以互联网为依托的网上银行、电子商务、网上基金等新兴交易平台受到越来越多的用户青睐。然而,由于互联网的开放性也导致这些新兴交易平台的安全性一直备受关注。API(Application ProgrammingInterface,应用程序接口)是用于提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,目前已被越来越多领域的企业所采用,尤其是银行业。API网关是一个服务器,是系统的唯一入口,API网关系统封装了系统内部架构,为每个客户端提供一个定制的API。其还可以具备其它职责,如身份验证、监控、负载均衡、缓存、请求分片与管理、静态响应处理等。
在银行业务领域,目前大部分与信用卡相关的API网关系统是通过校验请求唯一标识辨别是否是有效请求来避免恶意的重复请求攻击。例如,在现有技术方案中,客户端发起请求时,需要校验请求唯一标识是否存在于API网关请求唯一标识列表中,而网关需要对请求唯一标识进行存储,依赖于数据库或中间件,当数据库或中间件发生异常导致不可用时,若遭到恶意的重复请求攻击,会影响网关乃至服务端正常工作,将会带来不可估量的安全风险。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种API网关请求安全验证方法、装置、电子设备及计算机可读介质。
本发明的目的可以通过以下技术方案来实现:
本发明提供一种API网关请求安全验证方法,该方法用于对信用卡API网关系统的请求安全校验,具体包括:
在客户端发起的请求中添加以当前时间生成的时间戳信息,随后将请求发出。
API网关获取客户端发送的请求内容,并获取请求报文中的时间戳信息。
API网关以当前服务器时间与请求报文中的时间戳进行比对,判断是否允许请求通过,若请求通过,允许请求到达服务端,服务端处理请求后返回处理结果,否则直接拒绝请求。
API网关以当前服务器时间与请求报文中的时间戳进行比对的具体内容为:
API网关预先以当前服务器时间设定时间范围,若请求报文中的时间戳时间超出了API网关的设定时间范围,则拒绝请求;若请求报文中的时间戳时间在API网关的设定时间范围内,则允许请求到达服务端。若请求通过,服务端处理请求后,返回可调用服务端API的指令至客户端。
本发明另一方面还提供一种API网关请求安全验证装置,该装置包括:
请求报文生成模块,生成包括客户端的用户信息及包括当前时间生成的时间戳信息在内的API访问请求的请求报文;
发送模块,向服务端发送客户端的API访问请求,所述API访问请求中携带有客户端当前时间生成的时间戳信息;
接收模块,接收客户端发送的API访问请求;
解析模块,解析所述API访问请求,获得所述API访问请求中携带的客户端当前时间生成的时间戳信息;
验证模块,根据所述API访问请求中携带的当前时间生成的时间戳信息,基于服务端当前时间验证所述API访问请求内容是否安全。
进一步地,所述请求报文还包括请求地址和/或请求参数。
进一步地,所述验证模块包括判断单元,所述判断单元基于所述API访问请求中携带的时间戳信息,结合当前服务端时间进行比对,若时间戳时间超出了网关的设定时间范围,则拒绝该请求;若请求报文中的时间戳时间在网关设定时间范围内,则请求成功,允许请求到达服务端。
本发明第三方面提供一种电子设备,包括:处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述API网关请求安全验证方法的步骤。
本发明第四方面一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述API网关请求安全验证方法的步骤。
本发明相较于现有技术至少包括如下有益效果:
1)本发明通过校验客户端请求中携带的时间戳,与网关本地时间比对,允许在一定时间范围内请求访问服务端,提供了数据接口的安全性。不依赖于数据库与中间件,保证该功能的可靠性。
2)本发明采用当前服务器时间与请求时间校验,保证请求的有效性,防止了攻击者的恶意重复操作。
附图说明
图1为根据一示例性实施例示出的API网关请求安全验证方法的流程示意图;
图2为根据一示例性实施例示出的API网关请求安全验证装置的结构框图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
实施例
本发明提供了一种API网关请求安全验证方法,用于对信用卡API网关系统的请求安全校验,以解决因传统方式校验依赖数据库中间件,容易造成风险的问题。方法不依赖于数据库与中间件,基于时间戳判断原则,通过校验客户端请求中携带的时间戳,与网关本地时间比对,允许在一定时间范围内请求访问服务端,提供了数据接口的安全性。
图1示出了本发明API网关请求安全验证方法的主要流程,如图1所示,该方法包括如下步骤:
步骤一、在客户端发起的请求中添加以当前时间生成的时间戳信息,然后将请求发送出去。
本步骤中,客户端发起的请求包括客户端发起的用户名、请求内容,请求内容中添加客户端当前时间生成的时间戳信息,用于作为后续安全验证的判断依据。
步骤二、API网关在接收到请求后,获取请求报文中的时间戳信息。
步骤三、API网关以当前服务器时间与请求报文时间戳进行比对。具体地:
API网关预先以当前服务器时间设定时间范围,若请求报文中的时间戳时间超出了网关的设定时间范围,则拒绝该请求;若请求报文中的时间戳时间在网关设定时间范围内,则允许请求到达服务端。
步骤四、服务端处理请求后返回处理结果,即返回可调用服务端API的指令至客户端。
图2为本实施例提供的API网关请求安全验证装置的结构示意图,如图2所示,本实施例的装置包括:
请求报文生成模块201,用于生成包含客户端用户信息和请求内容的报文信息;其中,所述请求内容包括当前时间生成的时间戳信息以及请求地址和/或请求参数等;
发送模块202,用于向服务端发送客户端的API访问请求,所述API访问请求中携带有用户名、请求内容,以使服务端根据所述API访问请求中携带的时间戳信息,验证所述请求内容是否允许。
接收模块203,用于接收客户端发送的API访问请求;
解析模块204,用于解析所述API访问请求,获得所述API访问请求中携带的用户名、请求内容;
验证模块205,用于根据所述API访问请求中携带的当前时间生成的时间戳信息,验证所述请求内容是否安全。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,作为优选方式,验证模块205包括判断单元,该判断单元基于所述API访问请求中携带的时间戳信息,结合当前服务端时间进行比对,若时间戳时间超出了网关的设定时间范围,则拒绝该请求;若请求报文中的时间戳时间在网关设定时间范围内,则请求成功,允许请求到达服务端。
在本实施例中,还提供了一种计算机设备,该计算机设备可以是服务器,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述API网关请求安全验证方法。
在本实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述API网关请求安全验证方法的步骤。
本发明通过校验客户端请求中携带的时间戳,与网关本地时间比对,允许在一定时间范围内请求访问服务端,提供了数据接口的安全性。不依赖于数据库与中间件,保证该功能的可靠性。采用当前服务器时间与请求时间校验,保证请求的有效性,防止了攻击者的恶意重复操作。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的工作人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (8)

1.一种API网关请求安全验证方法,其特征在于,用于对信用卡API网关系统的请求安全校验,包括:
在客户端发起的请求中添加以当前时间生成的时间戳信息,随后将请求发出;
API网关获取客户端发送的请求内容,并获取请求报文中的时间戳信息;
API网关以当前服务器时间与请求报文中的时间戳进行比对,判断是否允许请求通过,若请求通过,允许请求到达服务端,服务端处理请求后返回处理结果,否则直接拒绝请求。
2.根据权利要求1所述的API网关请求安全验证方法,其特征在于,API网关以当前服务器时间与请求报文中的时间戳进行比对的具体内容为:
API网关预先以当前服务器时间设定时间范围,若请求报文中的时间戳时间超出了API网关的设定时间范围,则拒绝请求;若请求报文中的时间戳时间在API网关的设定时间范围内,则允许请求到达服务端。
3.根据权利要求2所述的API网关请求安全验证方法,其特征在于,若请求通过,服务端处理请求后,返回可调用服务端API的指令至客户端。
4.一种API网关请求安全验证装置,其特征在于,包括:
请求报文生成模块,生成包括客户端的用户信息及包括当前时间生成的时间戳信息在内的API访问请求的请求报文;
发送模块,向服务端发送客户端的API访问请求,所述API访问请求中携带有客户端当前时间生成的时间戳信息;
接收模块,接收客户端发送的API访问请求;
解析模块,解析所述API访问请求,获得所述API访问请求中携带的客户端当前时间生成的时间戳信息;
验证模块,根据所述API访问请求中携带的当前时间生成的时间戳信息,基于服务端当前时间验证所述API访问请求内容是否安全。
5.根据权利要求4所述的API网关请求安全验证装置,其特征在于,所述请求报文还包括请求地址和/或请求参数。
6.根据权利要求4所述的API网关请求安全验证装置,其特征在于,所述验证模块包括判断单元,所述判断单元基于所述API访问请求中携带的时间戳信息,结合当前服务端时间进行比对,若时间戳时间超出了网关的设定时间范围,则拒绝该请求;若请求报文中的时间戳时间在网关设定时间范围内,则请求成功,允许请求到达服务端。
7.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-3中任一项所述的API网关请求安全验证方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的API网关请求安全验证方法的步骤。
CN202111552329.5A 2021-12-17 2021-12-17 Api网关请求安全验证方法、装置、电子设备及计算机可读介质 Active CN114422139B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111552329.5A CN114422139B (zh) 2021-12-17 2021-12-17 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111552329.5A CN114422139B (zh) 2021-12-17 2021-12-17 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Publications (2)

Publication Number Publication Date
CN114422139A true CN114422139A (zh) 2022-04-29
CN114422139B CN114422139B (zh) 2024-02-23

Family

ID=81268187

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111552329.5A Active CN114422139B (zh) 2021-12-17 2021-12-17 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Country Status (1)

Country Link
CN (1) CN114422139B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065503A (zh) * 2022-05-11 2022-09-16 浪潮云信息技术股份公司 一种api网关防重放攻击的方法
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质
CN115271972A (zh) * 2022-09-30 2022-11-01 深圳迅策科技有限公司 一种基金交易清算方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660546A (zh) * 2018-12-27 2019-04-19 泰华智慧产业集团股份有限公司 基于NetflixZuul的API网关实现鉴权的方法
CN112866285A (zh) * 2021-02-24 2021-05-28 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660546A (zh) * 2018-12-27 2019-04-19 泰华智慧产业集团股份有限公司 基于NetflixZuul的API网关实现鉴权的方法
CN112866285A (zh) * 2021-02-24 2021-05-28 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065503A (zh) * 2022-05-11 2022-09-16 浪潮云信息技术股份公司 一种api网关防重放攻击的方法
CN115065503B (zh) * 2022-05-11 2024-05-31 浪潮云信息技术股份公司 一种api网关防重放攻击的方法
CN115065553A (zh) * 2022-07-27 2022-09-16 远江盛邦(北京)网络安全科技股份有限公司 一种单包认证方法、装置、电子设备及存储介质
CN115271972A (zh) * 2022-09-30 2022-11-01 深圳迅策科技有限公司 一种基金交易清算方法及系统
CN115271972B (zh) * 2022-09-30 2023-03-07 深圳迅策科技有限公司 一种基金交易清算方法及系统

Also Published As

Publication number Publication date
CN114422139B (zh) 2024-02-23

Similar Documents

Publication Publication Date Title
CN107135073B (zh) 接口调用方法和装置
CN114422139B (zh) Api网关请求安全验证方法、装置、电子设备及计算机可读介质
US9087183B2 (en) Method and system of securing accounts
US20100146609A1 (en) Method and system of securing accounts
US20140380508A1 (en) Method and system for authenticating user identity
USRE47533E1 (en) Method and system of securing accounts
US20160080355A1 (en) Authentication of api-based endpoints
CN112202705A (zh) 一种数字验签生成和校验方法、系统
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
CN112491776B (zh) 安全认证方法及相关设备
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
CN109547426B (zh) 业务响应方法及服务器
CN110708335A (zh) 访问认证方法、装置及终端设备
CN115022047B (zh) 基于多云网关的账户登录方法、装置、计算机设备及介质
CN113259429B (zh) 会话保持管控方法、装置、计算机设备及介质
CN112671605B (zh) 一种测试方法、装置及电子设备
CN111294337A (zh) 一种基于令牌的鉴权方法及装置
US8261328B2 (en) Trusted electronic communication through shared vulnerability
CN110516172B (zh) 资源调用方法、装置、计算机设备和存储介质
US11188647B2 (en) Security via web browser tampering detection
CN111652720A (zh) 云取证方法、装置、计算机设备及存储介质
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
CN111832015A (zh) 异常请求识别方法、装置、系统、介质及电子设备
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及系统
CN114257410A (zh) 基于数字证书的身份认证方法、装置、计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant