Java Http接口加签、验签操作

最新推荐文章于 2024-03-01 16:40:21 发布
最新推荐文章于 2024-03-01 16:40:21 发布
阅读量1.5w 收藏 26
点赞数 4
分类专栏: Java 文章标签: java http 接口 加签 验签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jay_1989/article/details/52789617
版权

1、业务背景

最近接触了一些电商业务,发现在处理电商业务接口时,比如淘宝、支付类接口,接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。我们这里主要介绍一下处理思路,至于签名算法我不做过多介绍,网上一大堆。

2、处理思路

双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&signature=XXXXXXXXXXXX(signature为传入的签名),等你拿到入参后,将参数串a=wersd&b=sd2354&c=4按你们约定的签名规则,自己用md5加签一次,然后和入参的signature值对比,以确认调用者是否合法,这就是接口签名验证的思路。

3、实例练习

接口双方经过沟通,对接口达成如下共识:
1、注意事项,主要指接口的的协议、传入参数类型、签名算法、文件格式等说明

2、下面是一个电商业务接口的真实案例,双方约定好了接口URL、业务参数、固定参数、签名以及返回数据格式




接口调用时,接口调用方代码如下(仅供参考): 
package com.pcmall;

import java.io.BufferedReader;					
import java.io.DataOutputStream;					
import java.io.IOException;					
import java.io.InputStreamReader;					
import java.io.UnsupportedEncodingException;					
import java.net.HttpURLConnection;					
import java.net.URL;					
import java.net.URLEncoder;					
import java.security.MessageDigest;					
import java.security.NoSuchAlgorithmException;					
import java.util.ArrayList;					
import java.util.Collections;					
import java.util.Iterator;					
import java.util.List;					
import java.util.Map;					
import java.util.TreeMap;
					
public class APITest {					
    static String TEST_URL = "待定";					
    static String TEST_KEY = "待定";					
    static String TEST_SEC = "待定";					
    					
    public static void main(String[] args) throws UnsupportedEncodingException, NoSuchAlgorithmException {					
        String result = getResult(TEST_URL, getReqParam());					
        System.out.print(result);					
    }					
					
    private static String getReqParam() throws UnsupportedEncodingException, NoSuchAlgorithmException {					
    	TreeMap<String, String> req = new TreeMap<String, String>();			
        req.put("a", TEST_KEY);					
        req.put("f", "json");					
        req.put("l", "zh_CN");					
        req.put("m", "zhongan.repair.query");					
        req.put("v", "1.0");					
        req.put("i", "" + System.currentTimeMillis() / 1000);					
        req.put("params", "{\"assignNo\":\"TEST018\"}");					
        req.put("s", sign(req, null, TEST_SEC));					
        					
        StringBuilder param = new StringBuilder();					
        for (Iterator<Map.Entry<String, String>> it = req.entrySet().iterator(); it.hasNext();) {					
            Map.Entry<String, String> e = it.next();					
            param.append("&").append(e.getKey()).append("=").append(URLEncoder.encode(e.getValue(), "UTF-8"));					
        }					
        					
        return param.toString().substring(1);					
    }					
    					
    private static String sign(Map<String, String> paramValues, List<String> ignoreParamNames, String secret) throws NoSuchAlgorithmException, UnsupportedEncodingException {					
        StringBuilder sb = new StringBuilder();					
        List<String> paramNames = new ArrayList<String>(paramValues.size());					
        paramNames.addAll(paramValues.keySet());					
        if (ignoreParamNames != null && ignoreParamNames.size() > 0) {					
            for (String ignoreParamName : ignoreParamNames) {					
                paramNames.remove(ignoreParamName);					
            }					
        }					
        Collections.sort(paramNames);					
        					
        sb.append(secret);					
        for (String paramName : paramNames) {					
            sb.append(paramName).append(paramValues.get(paramName));					
        }					
        sb.append(secret);					
					
        MessageDigest md = MessageDigest.getInstance("SHA-1");					
        return byte2hex(md.digest(sb.toString().getBytes("UTF-8")));					
    }					
    					
    private static String byte2hex(byte[] bytes) {					
        StringBuilder sign = new StringBuilder();					
        for (int i = 0; i < bytes.length; i++) {					
            String hex = Integer.toHexString(bytes[i] & 0xFF);					
            if (hex.length() == 1) {					
                sign.append("0");					
            }					
            sign.append(hex.toUpperCase());					
        }					
        return sign.toString();					
    }					
    					
    private static String getResult(String urlStr, String content) {					
        URL url = null;					
        HttpURLConnection connection = null;					
        try {					
            url = new URL(urlStr);					
            connection = (HttpURLConnection) url.openConnection();					
            connection.setDoOutput(true);					
            connection.setDoInput(true);					
            connection.setRequestMethod("POST");					
            connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8");					
            connection.setUseCaches(false);					
            connection.connect();					
            					
            DataOutputStream out = new DataOutputStream(connection.getOutputStream());					
            out.write(content.getBytes("UTF-8"));					
            out.flush();					
            out.close();					
            					
            BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream(), "UTF-8"));					
            StringBuffer buffer = new StringBuffer();					
            String line = "";					
            while ((line = reader.readLine()) != null) {					
                buffer.append(line);					
            }					
            reader.close();					
					
            return buffer.toString();					
        } catch (IOException e) {					
            e.printStackTrace();					
        } finally {					
            if (connection != null) {					
                connection.disconnect();					
            }					
        }					
        					
        return null;					
    }	
    
    
}
服务器端代码如下(仅供参考): 
@RequestMapping("/repairTakeOrder")
	@ResponseBody
	public ResponseVO repairTakeOrder(@RequestBody String jsonStr) {
		logger.info("repairTakeOrder入参:" + jsonStr);

		ResponseVO responseVO = null;
		try {
			RepairOrder repairOrder = JackJsonUtil.toBean(jsonStr,
					RepairOrder.class);
			TreeMap<String, String> paramsMap = new TreeMap<String, String>();
			paramsMap.put("gsxx01", repairOrder.getGsxx01());
			paramsMap.put("orderType", repairOrder.getOrderType().toString());
			paramsMap.put("serviceNo", repairOrder.getServiceNo());
			paramsMap.put("vipCard", repairOrder.getVipCard());
			paramsMap.put("customerName", repairOrder.getCustomerName());
			paramsMap.put("customerPhone", repairOrder.getCustomerPhone());
			paramsMap.put("customerTel", repairOrder.getCustomerTel());
			paramsMap.put("province", repairOrder.getProvince());
			paramsMap.put("city", repairOrder.getCity());
			paramsMap.put("county", repairOrder.getCounty());
			paramsMap.put("address", repairOrder.getAddress());
			paramsMap.put("salerCode", repairOrder.getSalerCode());
			paramsMap.put("salerName", repairOrder.getSalerName());
			paramsMap.put("storeCode", repairOrder.getStoreCode());
			paramsMap.put("storeName", repairOrder.getStoreName());
			paramsMap.put("site", repairOrder.getSite());

			paramsMap.put("siteDesp", repairOrder.getSiteDesp());
			paramsMap.put("engineerCode", repairOrder.getEngineerCode());
			paramsMap.put("engineerName", repairOrder.getEngineerName());
			if (repairOrder.getServiceDate() != null) {
				paramsMap.put("serviceDate",
						DateUtils.formatDate(repairOrder.getServiceDate()));
			}

			if (repairOrder.getSalePrice() != null) {
				paramsMap.put("salePrice", repairOrder.getSalePrice()
						.toString());
			}

			paramsMap.put("profitCenter", repairOrder.getProfitCenter());
			paramsMap.put("costCenter", repairOrder.getCostCenter());
			paramsMap.put("gsxx02", repairOrder.getGsxx02());
			paramsMap.put("returnReason", repairOrder.getReturnReason());
			if (repairOrder.getOriOrder() != null) {
				paramsMap.put("oriOrder", repairOrder.getOriOrder().toString());
			}

			if (repairOrder.getOriServiceNo() != null) {
				paramsMap.put("oriServiceNo", repairOrder.getOriServiceNo());
			}

			// 拼接签名原串(a=1&b=2)
			String paramSrc = RequestUtils.getParamSrc(paramsMap);
			logger.info("签名原串:" + paramSrc);
			//进行验签操作
			if (SignUtils.verifymd5(paramSrc, repairOrder.getSign())) {
				//处理业务逻辑
				responseVO=erpServiceImpl.repairTakeOrder(repairOrder);
				
			} else {
				responseVO = new ResponseVO();
				responseVO.setSuccess(false);
				responseVO.setErrorMsg("验签失败");
			}

		} catch (Exception e) {
			logger.error("", e);
			responseVO = new ResponseVO();
			responseVO.setSuccess(false);
			responseVO.setErrorMsg(StringUtils.isNotBlank(e.getMessage()) ? e.getMessage() : "后台异常");
		}
		return responseVO;

	}


Jay_1989
关注
  • 4
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java Http接口加签验签操作方法
09-01
下面小编就为大家带来一篇Java Http接口加签验签操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot接口加密、解密、验签及双向认证
chenwei9898的博客
01-18 870
RSA加解密工具类。
自己开发的接口居然不安全,零容忍
最新发布
程序员高级码农的博客
03-01 866
我们在求职面试中,经常会被问到,如何设计一个安全对外的接口呢?其实可以回答这一点,加签验签,这将让你的接口更加有安全。接下来,本文将和大家一起来学习加签验签。从理论到实战,加油哦~密码学相关概念加签验签概念为什么需要加签验签加密算法简介加签验签相关API加签验签代码实现公众号:捡田螺的小男孩❝❞公钥与私钥是成对存在的密钥,如果用公钥对数据进行加密,只有用对应的私钥才能解密。其实,公钥就是公开的秘钥,私钥就是要你私自保存好的秘钥。非对称加密算法需要有一对公私钥~❝。
java SHA256withRSA,json数据证书加签验签
08-31
SHA256withRSA java常用的json加签验签工具类 SHA256withRSA 完美工具类 RSAUtils,包含: 1、签名 2、验签 3、公钥加密》私钥解密 4、私钥加密》公钥解密
php对接java现实加签验签的实例
09-01
下面小编就为大家带来一篇php对接java现实加签验签的实例。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
API接签名验证
08-01
http Restful API接签名验证 ,防API接口进行在公网裸奔
API接口签名验证
weixin_30872337的博客
08-23 801
系统从外部获取数据时,通常采用API接口调用的方式来实现。请求方和接口提供方之间的通信过程,有这几个问题需要考虑: 请求参数是否被篡改; 请求来源是否合法; 请求是否具有唯一性; 今天跟大家探讨一下主流的通信安全解决方案。 参数签名方式 这种方式是主流。它要求调用方按照约定好的算法生成签名字符串,作为请求的一部分,接口提供方验算签名即可知是否合法。步骤通...
Java后台服务器验签流程总结
BHSZZY的博客
09-14 1113
一、简述 本人当前负责的Java后台系统是这样的: 用户登录的操作在某几台服务器上,进行实际业务处理的在另几台服务器上(有多类,每类有多台,例如考试系统服务器集群、问卷系统服务器集群等); 同一个集群的服务器之前配置了session共享(基于redis),但是不同的服务器之间是没有的。 例如,当用户准备登录问卷系统,首先由前端带着用户名密码请求登录服务器,登录服务器会根据用户登录参数、生成一个签名,返回给前端;前端带着签名与其它参数请求问卷服务器,问卷服务器会判断这个签名是否真实有效,如果有效,则允许继续操
java 公钥 验签 xml_java – 使用公钥验证签名
weixin_35173650的博客
02-24 641
我有一个外部服务,在一些已定义的事件后给我回电话,并用其私钥签署他的请求.我存储了公钥,看起来像:-----BEGIN PUBLIC KEY-----........................................-----END PUBLIC KEY-----所以我的工作是通过验证签名来检查请求的内容是否未被更改.这是我的算法:// 1 - reading public key ...
java 公钥私钥_RSA私钥签名和公钥验签JAVA实现
weixin_32445049的博客
02-12 794
具体实现方法如下:import org.apache.commons.codec.binary.Base64;import org.bouncycastle.util.encoders.UrlBase64;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import java.io.ByteArrayInputStream;import...
Java教程:使用RSA2算法生成公私钥与签名验签(Base64传输方式)
wfeil211的博客
12-07 4146
Java教程:使用RSA2算法生成公私钥与签名验签(Base64传输方式)
java 数字签名验签
04-27
此项目基于java标准数字签名验签技术可直接二次开发
C# 实现与JAVA互通 加签/验签,RSA加密/解密
05-07
* RSA数字签名-俗称加签验签:私钥加签,公钥验签。  * RSA加密解密:私钥解密,公钥加密。 * RSA数字签名-俗称加签验签:私钥加签,公钥验签。  * RSA加密解密:私钥解密,公钥加密。 * RSA数字签名-俗称加...
179海关接口.net加签验签实例
04-25
1.申请测试环境 2.修改179report.cs最下面的参数: public static CustomsReportSetting Current = new CustomsReportSetting...3.在插有操作员卡的电脑上安装iis环境,并部署该web项目。 4.在浏览其中运行该web项目。
支付宝集成——如何在回调地址中使用自定义参数(加了参数会导致签名验证失败or如何带上自己的参数)...
weixin_34033624的博客
12-19 478
为什么80%的码农都做不了架构师?>>> ...
API 接口参数签名的几种方案
热门推荐
Asurplus
09-26 2万+
在涉及跨系统接口调用时,我们容易碰到以下安全问题:请求身份被伪造、请求参数被篡改、请求被抓包,然后重放攻击
瞧瞧别人家的淘宝 API 接口,那叫一个优雅!
H_Y_X_C的博客
06-05 154
在实际工作中,我们需要经常跟第三方平台打交道,可能会对接第三方平台API接口,或者提供API接口给第三方平台调用。那么问题来了,如果设计一个优雅的API接口,能够满足:安全性、可重复调用、稳定性、好定位问题等多方面需求?今天跟大家一起聊聊设计API接口时,需要注意的一些地方,希望对你会有所帮助。
Java对外接口签名(Signature)实现方案
学习学习学习
07-04 9997
对外接口加密验签功能
Java RSA加密以及验签
weixin_30949361的博客
04-19 148
签名加密以及验签工具类: 一般秘钥分为3个key 1.自己生成的私钥, 2.通过私钥生成的公钥1 3.通过提交公钥1给某宝,获取的公钥2。 RSA公钥加密算法简介 非对称加密算法。只有短的RSA钥匙才可能被强力方式解破。到2008年为止,世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。 目前被破解的最长RSA密钥是768个二...
C#加签java验签Sm2
12-10
以下是C#加签Java验签SM2的示例代码: C#加签示例代码: ```csharp using System; using System.Security.Cryptography; using System.Text; namespace SM2Demo { class Program { static void Main(string[] args) { // 待签名的数据 string data = "Hello World!"; // 加载SM2证书 CngKey key = CngKey.Open("SM2Test"); // 创建SM2签名对象 ECDsaCng sm2 = new ECDsaCng(key); // 计算签名 byte[] signature = sm2.SignData(Encoding.UTF8.GetBytes(data)); // 输出签名结果 Console.WriteLine("Signature: " + Convert.ToBase64String(signature)); } } } ``` Java验签示例代码: ```java import java.security.*; import java.security.spec.ECGenParameterSpec; import java.security.spec.InvalidKeySpecException; import java.security.spec.PKCS8EncodedKeySpec; import java.security.spec.X509EncodedKeySpec; import java.util.Base64; public class SM2Demo { public static void main(String[] args) throws Exception { // 待验签的数据 String data = "Hello World!"; // 加载SM2证书 KeyFactory keyFactory = KeyFactory.getInstance("EC"); byte[] privateKeyBytes = Base64.getDecoder().decode("MIGTAgEAMBMGByqGSM49AgEGCCqBHM9VAYItBG0wawIBAQQgJzvJZJZJ5zJzJZJ5\n" + "zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ\n" + "5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ\n" + "5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); PKCS8EncodedKeySpec privateKeySpec = new PKCS8EncodedKeySpec(privateKeyBytes); PrivateKey privateKey = keyFactory.generatePrivate(privateKeySpec); byte[] publicKeyBytes = Base64.getDecoder().decode("MFkwEwYHKoZIzj0CAQYIKoEcz1UBgi0DfQADZGk+JzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(publicKeyBytes); PublicKey publicKey = keyFactory.generatePublic(publicKeySpec); // 创建SM2验签对象 Signature signature = Signature.getInstance("SM3withSM2"); signature.initVerify(publicKey); // 验证签名 byte[] signatureBytes = Base64.getDecoder().decode("MEUCIQDQJzvJZJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJgIgQJzvJZJZJ5zJz\n" + "JZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJz\n" + "JZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); signature.update(data.getBytes()); boolean result = signature.verify(signatureBytes); // 输出验签结果 System.out.println("Verify result: " + result); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值