Python防止重放攻击需同时满足唯一性、时效性、不可复用性:①加时间戳并校验±30秒窗口;②用UUID nonce+Redis缓存防重复;③对方法、路径、时间戳、nonce、排序参数及原始请求体哈希做HMAC-SHA256签名;④强制HTTPS传输。
Python 防止重放攻击的核心是确保每个请求具备唯一性、时效性和不可复用性。关键不在于加密本身,而在于对请求内容增加动态签名和时间约束。
添加时间戳与有效期校验
在请求中嵌入当前时间戳(如 Unix 时间秒数或毫秒),服务端收到后检查是否落在允许的时间窗口内(例如 ±30 秒)。超出即拒绝,避免旧请求被重复提交。
- 客户端生成请求时:
timestamp = int(time.time()) - 服务端验证时:
if abs(timestamp - time.time()) > 30: raise ValueError("Request expired") - 注意:客户端和服务端系统时间需大致同步,生产环境建议使用 NTP 校时
使用一次性随机数(nonce)
每次请求携带一个服务端未见过的随机字符串(如 UUID4),服务端缓存已使用的 nonce(推荐 Redis + 过期时间),重复出现即视为重放。
- 客户端生成:
nonce = str(uuid.uuid4()) - 服务端存储并设置过期:
redis.setex(f"nonce:{nonce}", 60, "1")(60 秒后自动清理) - 若
redis.get(f"nonce:{nonce}")存在,说明该 nonce 已用过,直接拦截
对请求参数做带密钥的签名(HMAC)
将请求方法、路径、时间戳、nonce 和排序后的参数拼接后,用服务端与客户端共享的密钥生成 HMAC-SHA256 签名,作为请求头(如 X-Signature)发送。服务端用相同逻辑重新计算比对。
立即学习“Python免费学习笔记(深入)”;
- 签名原文示例:
f"GET|/api/user|{timestamp}|{nonce}|id=123&name=test" - 生成签名:
hmac.new(key, msg.encode(), hashlib.sha256).hexdigest() - 服务端必须按完全相同的规则拼接和签名,否则校验失败
- 密钥绝不暴露在客户端代码或日志中,建议通过环境变量或密钥管理服务加载
结合 HTTPS 与请求体完整性
即使有签名,也必须强制使用 HTTPS,防止中间人篡改或窃取签名参数。同时,对 POST/PUT 请求体(如 JSON)参与签名计算,避免攻击者仅修改 body 绕过校验。
- 读取原始请求体:
body = request.get_data() # Flask;或 Django 中用 request.body - 将
body的 SHA256 哈希值纳入签名原文,或直接将规范化的 JSON 字符串参与拼接 - 避免使用
request.json(可能触发解析副作用),优先用原始字节流保证一致性
