Whisper

你要保护的是什么

卡密授权系统通常要保护三类核心资产：

1. 卡密本身的价值（有效期、次数、权益）
2. 授权请求的真实性（请求没有被篡改、不是伪造）
3. 授权结果的可追溯性（谁在什么时间对什么卡密做了什么）

常见攻击面

• 伪造请求：直接构造接口参数，让服务端误判为合法
• 篡改响应：中间人替换服务端返回，客户端被“喂假结果”
• 重放攻击：把一次合法请求复制多次发送，绕过次数/频控
• 密钥泄露：客户端硬编码密钥、泄露到日志/崩溃信息/网盘
• 权限串用：子账号能操作不属于自己的实例、卡密或配置

最小安全闭环（企业级落地优先）

1) 每个软件实例独立密钥

不要所有产品共用一把密钥。按实例隔离，泄露也能把影响面控制在最小范围。

2) 只信任签名，不信任客户端参数

服务端以签名校验作为请求真实性依据。签名应覆盖：

• method、path
• timestamp（时间戳）
• nonce（随机数）
• body hash（请求体摘要）

3) 加密用于“保密”，签名用于“防篡改”

签名解决“完整性”，加密解决“机密性”。不要用加密代替签名，也不要只加密不签名。

4) 防重放必须有“时间窗 + nonce”

只做时间戳不够，攻击者可以在时间窗内重放；只做 nonce 不够，需要时间窗限制存储规模。

5) 可观测与审计是安全的一部分

把失败变得可定位，才能把系统跑稳。建议至少记录：

• instance_id、卡密（可做脱敏）、hwid、IP
• 校验失败原因（签名错误/过期/重放/权限不足）
• 请求时间与处理耗时

结论

一个“看起来能用”的卡密系统很容易做出来；一个“稳定、可运营、可审计”的企业级系统，关键在于把安全闭环做完整：密钥隔离、签名、加密、防重放、权限与日志缺一不可。