背景介绍

在 Web 应用开发中，API 接口的安全性一直是一个重要话题。传统的认证方式如 JWT、Session 等都有其适用场景，但在某些特定场景下（如只需要限制特定客户端访问），这些方案可能显得过重。本文将介绍一种基于时间戳的动态密钥认证机制，它具有实现简单、安全可靠、性能高效等特点。

实现原理

该认证机制的核心思想是：

1. 前后端共享一个密钥（Secret Key）
2. 使用当前时间戳 + 密钥生成签名
3. 在请求时带上时间戳和签名
4. 服务端验证时间戳是否在有效期内，并重新计算签名进行比对

安全性保障

• 使用 HMAC-SHA256 进行签名，确保签名不可逆
• 基于时间戳的动态验证，防止重放攻击
• 使用 crypto.timingSafeEqual 防止时序攻击
• 严格的时间窗口控制，默认 30 秒

技术实现

1. 工具类实现（auth.util.ts）

import * as crypto from 'crypto';

export class AuthUtil {
  private static readonly TIME_TOLERANCE = 30; // 允许的时间误差（秒）

  /**
   * 生成动态密钥
   * @param secretKey 服务器密钥
   * @returns { timestamp: number; signature: string }
   */
  static generateDynamicAuth(secretKey: string) {
    const timestamp = Math.floor(Date.now() / 1000); // 转换为秒
    const signature = this.generateSignature(timestamp, secretKey);
    return { timestamp, signature };
  }

  /**
   * 验证动态密钥
   * @param timestamp 客户端时间戳
   * @param signature 客户端签名
   * @param secretKey 服务器密钥
   */
  static verifyDynamicAuth(timestamp: number, signature: string, secretKey: string): boolean {
    const currentTime = Math.floor(Date.now() / 1000);
    
    // 检查时间戳是否在允许范围内
    if (Math.abs(currentTime - timestamp) > this.TIME_TOLERANCE) {
      return false;
    }

    // 生成服务器端签名并比对
    const serverSignature = this.generateSignature(timestamp, secretKey);
    return crypto.timingSafeEqual(
      Buffer.from(signature),
      Buffer.from(serverSignature)
    );
  }

  /**
   * 生成签名
   * @param timestamp 时间戳
   * @param secretKey 密钥
   */
  private static generateSignature(timestamp: number, secretKey: string): string {
    return crypto
      .createHmac('sha256', secretKey)
      .update(timestamp.toString())
      .digest('hex');
  }
}

2. 守卫实现（dynamic-auth.guard.ts）

import { CanActivate, ExecutionContext, Injectable, UnauthorizedException } from '@nestjs/common';
import { ConfigService } from '@nestjs/config';
import { AuthUtil } from '../utils/auth.util';

@Injectable()
export class DynamicAuthGuard implements CanActivate {
  constructor(private configService: ConfigService) {}

  async canActivate(context: ExecutionContext): Promise<boolean> {
    const request = context.switchToHttp().getRequest();
    const timestamp = request.headers['x-timestamp'];
    const signature = request.headers['x-signature'];

    if (!timestamp || !signature) {
      throw new UnauthorizedException('缺少认证信息');
    }

    const secretKey = this.configService.get<string>('AUTH_SECRET_KEY');
    if (!secretKey) {
      throw new UnauthorizedException('服务器配置错误');
    }

    const isValid = AuthUtil.verifyDynamicAuth(
      parseInt(timestamp),
      signature,
      secretKey
    );

    if (!isValid) {
      throw new UnauthorizedException('认证失败');
    }

    return true;
  }
}

3. 在控制器中使用

@Controller('api')
@UseGuards(DynamicAuthGuard)  // 应用认证守卫
export class ApiController {
  // ... 控制器方法
}

4. 前端实现

// auth.ts
const generateAuthHeaders = async () => {
  const secretKey = process.env.NEXT_PUBLIC_AUTH_SECRET_KEY;
  const timestamp = Math.floor(Date.now() / 1000);
  
  const signature = CryptoJS.HmacSHA256(timestamp.toString(), secretKey).toString();
  
  return {
    'x-timestamp': timestamp.toString(),
    'x-signature': signature,
  };
};

// API 调用示例
const fetchData = async () => {
  const headers = await generateAuthHeaders();
  
  const response = await fetch('your-api-url', {
    headers: {
      ...headers,
      'Content-Type': 'application/json',
    },
  });
  
  return response.json();
};

关键技术点解析

1. HMAC-SHA256 算法

HMAC（Hash-based Message Authentication Code）是一种基于哈希函数的消息认证码算法，它可以用来检查消息的完整性和真实性。在本实现中，我们使用 SHA256 作为底层哈希函数，这提供了足够的安全性。

2. 时序攻击防护

使用 crypto.timingSafeEqual 而不是简单的字符串比较，可以防止通过比较时间差异来推测签名的时序攻击。

3. 时间窗口控制

设置 30 秒的时间窗口，在保证安全性的同时，也考虑到了前后端时间可能存在的轻微差异。

安全性分析

1. 防重放攻击

   • 每个签名都包含时间戳
   • 严格的时间窗口控制
   • 过期签名自动失效

2. 防篡改

   • HMAC-SHA256 确保消息完整性
   • 修改任何参数都会导致验证失败

3. 密钥安全

   • 服务器密钥通过环境变量管理
   • 签名过程不可逆，无法从签名推导出密钥

最佳实践建议

1. 密钥管理
   • 使用足够长的随机密钥
   • 定期轮换密钥
   • 使用环境变量存储密钥

// 生成安全的随机密钥
const secretKey = crypto.randomBytes(32).toString('hex');

2. 传输安全

   • 必须使用 HTTPS
   • 设置适当的 CORS 策略
   • 添加请求频率限制

3. 监控和日志

   • 记录认证失败的尝试
   • 监控异常的请求模式
   • 设置告警机制

扩展优化

1. IP 白名单

static isIPAllowed(ip: string): boolean {
  const allowedIPs = process.env.ALLOWED_IPS?.split(',') || [];
  return allowedIPs.includes(ip);
}

2. 请求频率限制

static readonly requestLimits = new Map<string, number>();
static isRequestAllowed(clientId: string): boolean {
  const now = Date.now();
  const lastRequest = this.requestLimits.get(clientId) || 0;
  if (now - lastRequest < 1000) {
    return false;
  }
  this.requestLimits.set(clientId, now);
  return true;
}

总结

这种基于时间戳的动态密钥认证机制具有以下优势：

1. 简单高效

   • 无需数据库操作
   • 实现简单，维护成本低
   • 验证过程快速

2. 安全可靠

   • 防重放攻击
   • 防时序攻击
   • 签名不可逆

3. 灵活可扩展

   • 易于集成到现有系统
   • 可以添加额外的安全层
   • 支持自定义时间窗口

这种认证机制特别适合以下场景：

• 个人博客 API 保护
• 内部系统接口认证
• 特定客户端访问控制

只要确保密钥的安全性，这种认证机制在大多数场景下都是一个简单且安全的选择。

贡献者

yumengjh

更新日志

2025/8/15 14:25

查看所有更新日志

• 7eec2-Document organization于 2025/8/15
• 9de0b-全局优化于 2025/8/15
• b1c4a-文档迁移于 2025/8/14

版权所有

版权归属：yumengjh

许可证：署名 4.0 国际 (CC-BY-4.0)