Question

我有一个Rails应用，该应用提供了python脚本使用的JSON API。安全性很重要，我一直在使用HMAC来做到这一点。 rails应用程序和python脚本都知道秘密密钥，并使用它们加密的签名是URL和请求的正文。

我的问题是请求的签名不会每次都更改。如果被拦截，则攻击者可以发送具有相同摘要的完全相同的请求，并且我认为它可以进行身份验证，即使攻击者不知道密钥。

所以我认为我需要在签名中包含类似请求时间戳的内容-问题是我不知道如何在python和ruby中实现这一点。

这是我的python代码：

import hmac
import hashlib
import requests

fetch_path = url_base + '/phone_messages/pending'
fetch_body = '{}'
fetch_signature = fetch_path + ':' + fetch_body
fetch_hmac = hmac.new(api_key.encode('utf-8'), fetch_signature.encode('utf-8'), haslib.sha1).hexdigest()

这是我的红宝石代码：

signature = "#{request.url}:#{request.body.to_json.to_s}"
hmac_digest = OpenSSL::HMAC.hexdigest('sha1', secret_key, signature)

Answer 1

问题：我需要在签名中包含类似请求时间戳的内容

例如：

import hmac, hashlib, datetime

api_key = 'this is a key'
fetch_path = 'http://phone_messages/pending'
fetch_body = '{}'
fetch_data = fetch_path + ':' + fetch_body


for n in range(3):
    fetch_signature = fetch_data + str(datetime.datetime.now().timestamp() )
    fetch_hmac = hmac.new(api_key.encode('utf-8'), fetch_signature.encode('utf-8'), hashlib.sha1).hexdigest()
    print("{}:{} {}".format(n, fetch_signature, fetch_hmac))

输出：

0:http://phone_messages/pending:{}1538660666.768066 cfa49feaeaf0cdc5ec8bcf1057446c425863e83a
1:http://phone_messages/pending:{}1538660666.768358 27d0a5a9f33345babf0c824f45837d3b8863741e
2:http://phone_messages/pending:{}1538660666.768458 67298ad0e9eb8bb629fce4454f092b74ba8d6c66

我建议在security.stackexchange.com讨论安全性。
首先，请阅读：what-is-a-auth-key-in-the-security-of-the-computers

Answer 2

我通过将时间戳（自纪元以来的秒数）放置在发布请求的正文或get请求的参数中来解决此问题。我只是将时间戳记用作编码的签名，这意味着HMAC哈希对于在不同秒中出现的每个请求都是不同的。

然后为了防止攻击者仅使用以前看到的时间戳，我在服务器上验证了时间戳不超过当前时间戳的5秒钟。

攻击者能够快速拦截通信并发送攻击，但仍然可以通过，但是我无法将超时时间降低到5秒以下，因为它已经使某些请求超时了。

由于整个操作都是在SSL下完成的，因此我认为它应该足够安全。

更改签名即可获得安全的HMAC授权

2 个答案: