禁止http包重新发送的问题

XiaoTian623

求各位经常开发http接口的大哥们，有什么方法让我的一个http接口如果他人抓包出来了，他无法进行重发呢？我做了一个时间校验，10秒后这个包里的时间戳跟现行时间就不对了，有啥办法说可以更完美一点呢，求教各位大佬讲解点方案

韦贝贝

可以用RSA私钥和公钥加密然后你传送的内容是JSON里面包含时间戳  在加密的过程中有时间戳 然后解密那边就是需要用这协议头的时间戳去解密 随便验证时间 比如 {
"resultcode":"200",
"reason":"cha询成功",
"result":{
"data":"1111",
"time":"250723081007"
},
"error_code":0
} +250723081039  协议头也加上时间戳 这加密的内容可以自定义 比如 JSON+URL+时间戳 然后时间校验10秒太久了 3秒内

补充内容 (2025-7-23 20:13):
用RSA 加密后的内容再转Base64

王永康

接口加密，每次 加密了 在发送，如果不一样就拒绝

XiaoTian623

王永康 发表于 2025-7-23 19:46
接口加密，每次 加密了 在发送，如果不一样就拒绝

已经全部做了加密跟sig，因为后台有ip代理，我不想让他浪费ip代理次数，假设他把包抓出来一直重放就会浪费ip

nha30

魔改一个RSA算法，明文里面带上时间。服务器上校验一下时间就可以了，时间差过大就不返回错误，魔改RSA，是为增加他逆向的难度，免得他分析出公钥就直接套算法进去请求

KServer

加密加密加密加密加密加密加密加密，无状态服务没有其他太好的办法

不知道你前端是web还是软件，不并发有认证机制的话可以试试会话seq或者随机密钥，第一次请求或初次连接的时候下发一个 seq或者key，每次请求这个key都参与sign但是不在包里，请求结束的时候对这个key进行自增或加密得到新的key，后端也这样，这样的没法重放

补充内容 (2025-7-23 20:16):
比如初始 seq = 0，每次请求完seq+1，tcp目前都是这样防止重放，但是在http这种无状态服务且可能并发的情况下不太好使，容易误杀，自行把握

韦贝贝

XiaoTian623 发表于 2025-7-23 19:52
已经全部做了加密跟sig，因为后台有ip代理，我不想让他浪费ip代理次数，假设他把包抓出来一直重放就会浪 ...

另外有些比如一个IP重复你别去屏蔽他让他提交直接提交成功什么的让他以为是成功了