总结数字签名、抓包的内容 文章目录一、数字签名是什么二、数字签名的做用是什么三、什么是抓包四、抓包可以杜绝吗一、数字签名是什么1、类比现实手写签名我签自己名字只有我本人能签别人模仿不了任何人看到签名都能确定这份文件是我出具的文件内容改一个字这份签名就失效证明内容被篡改。2、核心定义签名 用自己的私钥对数据摘要加密后的一段密文字符串。两个硬性规则只有本人私钥能生成签名只能用本人配套公钥校验签名原文改动一丁点校验直接失败。重点签名不会加密你的业务参数原文是明文传输额外附带一串签名字符串用来校验。二、数字签名的做用是什么防篡改后端将明文的参数与签名解密后的参数进行对比例如金额、订单号、文字任意一处改动参数不一致直接拒绝请求。校验请求来源确认是谁发的)只有持有私钥的人才能生成合法签名。 黑客没有你的私钥就算随便改参数、仿造接口也造不出合法sign服务端用你的公钥一验就识破是伪造请求。抵御重放攻击搭配时间戳实现时间戳参与签名黑客就算完整复制整条请求隔几分钟再发服务端校验时间过期直接拦截防止重复下单、重复扣款。三、什么是抓包网络上客户端和服务器传输数据会分成一个个数据包在网络里传输。抓包就是用本地工具进行拦截、查看、修改这些数据包。就像你寄快递抓包就是半路把快递拆开看里面纸条写了啥还能把纸条内容涂改一遍再封上送给收件人。四、抓包可以杜绝吗抓包这个行为本身不可能彻底杜绝但抓包带来的篡改、伪造、窃听风险是可以层层封死的。1、为什么没法禁止别人抓包抓包工具本质是监控本机网络流量权限在用户自己手里手机、电脑是用户的只要用户愿意安装证书就能拦截本机所有 HTTP/HTTPS流量。2、虽然拦不住抓包但能让抓包变得毫无意义使用防篡改的数字签名不管他人怎么改请求里的请求参数后端通过签名校验参数一改校验直接失败。哪怕他抓包看到所有明文也没法构造合法请求改了也提交不进去。防止抓包后重复发包签名强制带上时间戳如5分钟就算完整复制一条合法请求超过时效后端直接拒绝抓包复制的数据包作废。流量风控限制恶意抓包批量攻击同一 IP、同一设备短时间高频提交、频繁调用接口直接限流封禁识别批量爬虫、批量抓包提交的异常流量提前拦截。将明文参数也加密使用对称加密方式。