Python 如何防止重放攻击？

2026-01-20 00:00:00 作者：冷漠man

Python防止重放攻击需同时满足唯一性、时效性、不可复用性：①加时间戳并校验±30秒窗口；②用UUID nonce+Redis缓存防重复；③对方法、路径、时间戳、nonce、排序参数及原始请求体哈希做HMAC-SHA256签名；④强制HTTPS传输。

Python 防止重放攻击的核心是确保每个请求具备唯一性、时效性和不可复用性。关键不在于加密本身，而在于对请求内容增加动态签名和时间约束。

添加时间戳与有效期校验

在请求中嵌入当前时间戳（如 Unix 时间秒数或毫秒），服务端收到后检查是否落在允许的时间窗口内（例如 ±30 秒）。超出即拒绝，避免旧请求被重复提交。

客户端生成请求时： timestamp = int(time.time())
服务端验证时： if abs(timestamp - time.time()) > 30: raise ValueError("Request expired")
注意：客户端和服务端系统时间需大致同步，生产环境建议使用 NTP 校时

使用一次性随机数（nonce）

每次请求携带一个服务端未见过的随机字符串（如 UUID4），服务端缓存已使用的 nonce（推荐 Redis + 过期时间），重复出现即视为重放。

客户端生成：nonce = str(uuid.uuid4())
服务端存储并设置过期：redis.setex(f"nonce:{nonce}", 60, "1")（60 秒后自动清理）
若 redis.get(f"nonce:{nonce}") 存在，说明该 nonce 已用过，直接拦截

对请求参数做带密钥的签名（HMAC）

将请求方法、路径、时间戳、nonce 和排序后的参数拼接后，用服务端与客户端共享的密钥生成 HMAC-SHA256 签名，作为请求头（如 X-Signature）发送。服务端用相同逻辑重新计算比对。

签名原文示例：f"GET|/api/user|{timestamp}|{nonce}|id=123&name=test"
生成签名：hmac.new(key, msg.encode(), hashlib.sha256).hexdigest()
服务端必须按完全相同的规则拼接和签名，否则校验失败
密钥绝不暴露在客户端代码或日志中，建议通过环境变量或密钥管理服务加载

结合 HTTPS 与请求体完整性

即使有签名，也必须强制使用 HTTPS，防止中间人篡改或窃取签名参数。同时，对 POST/PUT 请求体（如 JSON）参与签名计算，避免攻击者仅修改 body 绕过校验。

读取原始请求体：body = request.get_data() # Flask；或 Django 中用 request.body

将 body 的 SHA256 哈希值纳入签名原文，或直接将规范化的 JSON 字符串参与拼接
避免使用 request.json（可能触发解析副作用），优先用原始字节流保证一致性

返回首页上一篇：电脑开机蓝屏代码DPC_WATCHDOG_VIOLATION 下一篇：如何排查Golang环境安装失败原因_Golang环境安装失

猜你喜欢

联络方式：

400 9058 355

邮箱：8955556@qq.com

Q Q：8955556

微信二维码

我们猜你喜欢

费用套餐

网站案例: 营销网站; 电商网站; 房产网站; 微信小程序

解决方案

新闻资讯: SEO优化; 网络营销; 网站运营; 网络技术; 帮助教程; 行业新闻; 服务器; 小程序建站; 网络推广; 行业网站; AI大模型

关于我们: 公司简介

加微信咨询

手机访问

© 深圳市千寻多信息科技有限公司版权所有粤ICP备2024262162号

客服QQ

电话

400 9058 355

微信二维码

微信二维码