App开放接口api安全性—Token签名sign的设计与实现

最新推荐文章于 2023-09-20 11:57:50 发布
最新推荐文章于 2023-09-20 11:57:50 发布
阅读量645 收藏 1
点赞数
分类专栏: APP

前言

在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多数开放接口安全验证一样,如淘宝的开放接口token验证,微信开发平台token验证都是同理。

签名设计

对于敏感的api接口,需使用https协议

https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。

https协议需要ca证书,一般需要交费。

签名的设计

原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:

时间戳:timestamp

Token令牌:token

然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后更具MD5加密(可以加点盐),全部大写,生成sign签名,这就是所说的url签名算法。然后登陆后每次调用用户信息时,带上sign,timestamp,token参数。

例如:原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 (post和get都一样,对所有参数排序加密)

加上时间戳和token

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc  
然后更具url参数生成sign

最终的请求如

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2  
其最终的原理是减小明文的暴露次数;保证数据安全的访问。

具体实现如下:

1. api请求客户端想服务器端一次发送用用户认证信息(用户名和密码),服务器端请求到改请求后,验证用户信息是否正确。

如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token----Uid的用户信息关系,以便其他api对token的校验。

如果错误:则返回错误码。



2.服务器设计一个url请求拦截规则

(1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。

(2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该 url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。

(3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。

(4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名 也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样如果无法确保公钥丢失,所以签名只是很大程 度上保证安全)。

(5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。

3.Token和Uid关系维护

对于用户登录我们需要创建token--uid的关系,用户退出时需要需删除token--uid的关系。

签名实现

获取全部请求参数



[java]  view plain copy
  1. String sign = request.getParameter("sign");  
  2.         Enumeration<?> pNames =  request.getParameterNames();  
  3.         Map<String, Object> params = new HashMap<String, Object>();  
  4.         while (pNames.hasMoreElements()) {  
  5.             String pName = (String) pNames.nextElement();  
  6.             if("sign".equals(pName))continue;  
  7.             Object pValue = request.getParameter(pName);  
  8.             params.put(pName, pValue);  
  9.         }  


生成签名



[java]  view plain copy
  1. public static String createSign(Map<String, String> params, boolean encode)  
  2.             throws UnsupportedEncodingException {  
  3.         Set<String> keysSet = params.keySet();  
  4.         Object[] keys = keysSet.toArray();  
  5.         Arrays.sort(keys);  
  6.         StringBuffer temp = new StringBuffer();  
  7.         boolean first = true;  
  8.         for (Object key : keys) {  
  9.             if (first) {  
  10.                 first = false;  
  11.             } else {  
  12.                 temp.append("&");  
  13.             }  
  14.             temp.append(key).append("=");  
  15.             Object value = params.get(key);  
  16.             String valueString = "";  
  17.             if (null != value) {  
  18.                 valueString = String.valueOf(value);  
  19.             }  
  20.             if (encode) {  
  21.                 temp.append(URLEncoder.encode(valueString, "UTF-8"));  
  22.             } else {  
  23.                 temp.append(valueString);  
  24.             }  
  25.         }  
  26.   
  27.         return MD5Utils.getMD5(temp.toString()).toUpperCase();  
  28.     }  


http://www.lai18.com/content/944366.html

DADA随记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3....
聊聊 API 签名方式,看完这篇就明白了!
程序员小乐
12-30 1436
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Everyone to hello, not an obligation...
api签名认证原来如此简单
carrot11223的博客
04-23 717
api签名认证,什么是accessKey,secretKey?这看完你不会我倒立!
app与后台的token、sessionId、RSA加密登录认证与安全解决方案,kotlin开源项目实战
m0_64382868的博客
11-28 3034
上述简易的登录验证策略存在明显的安全漏洞,需要优化。 1.1.1 密码的传输 客户端第一次发出登录请求时, 用户密码以明文的方式传输, 一旦被截获, 后果严重。因此密码需要加密,例如可采用RSA非对称加密。具体流程如下: 客户端向服务器第一次发起登录请求(不传输用户名和密码)。 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。 客户端收到公钥后, 加密用户密码, 向服务器发起第二次登录请求(传输用户名和加密后的密码)。 服务器利用保留的私钥对密文进行解密,得到真正的
API接口TOKEN设计
weixin_30294295的博客
07-04 520
首先需要知道API是什么? APIApplication Programming Interface)即应用程序接口。你可以认为 API 是一个软件组件或是一个 Web 服务与外界进行的交互的接口。而我们在这里要谈论的,是作为一家公司如何跟外界进行交互。从另一个角度来说,API 是一套协议,规定了我们与外界的沟通方式:如何发送请求和接收响应。 API的特点:   1、因为...
Laravel5.4简单实现app接口Api Token认证方法
01-02
在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证。 一、给用户表users增加api_token字段 ...
API接口设计token、timestamp、sign
06-24
API接口设计token、timestamp、sign的具体使用demo示例。
Api接口TOKEN+签名安全.zip
11-26
api接口token签名与认证demo
api接口文档中的签名是什么
LQDSH的博客
07-22 2781
文章目录前言一、api文档中的签名是什么?二、对文档规则中的签名算法的认识三、生成签名的函数总结 前言 初入程序员行列,随着工作的不断展开,我对业务上的逻辑也逐渐熟悉。在开发过程中少不了看api文档,文档中常常又少不了签名,本文就介绍了我对API文档规则中签名的认识。 一、api文档中的签名是什么? 签名是一个参数sign,一般开发者会给出指定的签名算法,然后还会提供私钥,并将私钥参与签名算法,生成最后的签名签名会当作入参传入接口接口内部会有相对应的签名算法进行校验,可以判断身份是否正确等等,签名.
API签名方式
leekyyy18的博客
02-24 1494
前言 现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下: 非法使用 API 服务。(收费接口非法调用) 恶意攻击和破坏。(数据篡改、DOS) 因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。 HTTP 简单身份认证 在 HTTP 请求的 Header 中添加认证
如何给API签名
最新发布
IT部落格
09-20 248
API只能被特定的人访问防止别人抓包拿到请求参数,通过篡改参数发起新的请求。
开发API接口的安全验证:token,参数签名,时间戳
热门推荐
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token签名,时间戳,三个部分来保证API接口安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
API接口安全设计方案(已实现
软件老王
07-16 1万+
1、背景 网络安全方案,主要从数据加密与api接口安全两个方面考虑,数据加密https已经加密了,就不再次加密了;主要从api安全方面考虑。 2、接口安全设计 在代码层面,对接口进行安全设计 一、使用token进行用户身份认证 二、使用sign防止传入参数被篡改 三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、 用户登录时,客户端请求接口,传入用户名和密文的密码 2、 后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一
如何设计安全可靠的开放接口---之Token
自律使我自由
05-12 3385
前言 Open API是会暴露到公网被访问的接口,那与内网接口最重要的区别就是如何做好安全的问题,常见的安全问题有:合法身份判别、数据防窥、数据防篡改、请求防重放、Dos攻击等等,本文针对这些安全问题整理了一些常见的应对措施。 合法身份判别 首先,我们先来看看如何解决身份判别的问题,身份判别最简单的方式就是让用户自己注册账号、密码,然后使用账号、密码登陆成功后再进行接口请求,但是对于Open API来说一般是没有登陆这一步操作的,所以我们就需要通过另一种方式来间接的让请求用户实现登陆。 Token Toke
对外API接口安全性设计及鉴权方式
linovce的博客
05-09 1万+
一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 像这种对外的api接口往往对安全性有严格要求,本文整理了一下常用的api鉴权方式以及安全措施(如有不当之处,请路过的大佬指正)。 对外API接口安全性设计及鉴权方式 API鉴权方式 ...
七、api接口安全设计
余衫马的博客
06-28 2373
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 篇 —— 自定义注解,防止表单重复提交 参考安全|API接口安全性设计(防篡改和重复调用) 参考API接口安全设计 为什么要设计安全的api接口 运行在外网服务器的接口暴露在整个互联网中,可能会受到各种攻击,例如恶意爬取服务器数据、恶意篡改请求数据等,因此需要一个机制去保证api接口是相对安全的。 本项目api接口安全设计 本项目api接口安全性主要是为了请求参数不会被篡改和防止接口被多次调用而产生脏数据,实现方案主要围绕..
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 5053
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
tokensign 的理解
shenjing_Shining的博客
10-15 2089
token:令牌,用于验证用户身份和登录状态的标识。 实现方式:用户在登录时,将用户名和密码返回给服务器,登录成功的情况下,服务器会根据用户信息或其他方式生成一个token ,将 token 和用户 id 以及时间戳存入 token 表,并将这个 token 返回给客户端。 之后用户就可以携带这个 token 进行业务访问,接口在请求时,生成一个时间戳,服务器在收到请求后,先对比该时间戳与 token 表中存的该 token 的时间戳,验证 token 是否过期,如果过期,直接让用户重新登录,并删除该过
java实现api接口token
07-27
在 Java 中实现 API 接口token 验证可以通过以下步骤进行: 1. 创建一个 TokenUtil 类,用于生成和验证 token。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.security.Keys; import javax.crypto.SecretKey; import java.util.Date; public class TokenUtil { private static final String SECRET_KEY = "your_secret_key_here"; // 生成 token public static String generateToken(String userId) { SecretKey key = Keys.hmacShaKeyFor(SECRET_KEY.getBytes()); return Jwts.builder() .setSubject(userId) .setExpiration(new Date(System.currentTimeMillis() + 86400000)) // 设置过期时间为一天 .signWith(key) .compact(); } // 验证 token public static boolean validateToken(String token) { try { SecretKey key = Keys.hmacShaKeyFor(SECRET_KEY.getBytes()); Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token); return true; } catch (Exception e) { return false; } } // 获取 token 中的用户ID public static String getUserIdFromToken(String token) { SecretKey key = Keys.hmacShaKeyFor(SECRET_KEY.getBytes()); Claims claims = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody(); return claims.getSubject(); } } ``` 2. 在需要验证 tokenAPI 接口中,使用 TokenUtil 类进行验证。 ```java import javax.ws.rs.GET; import javax.ws.rs.Path; import javax.ws.rs.QueryParam; import javax.ws.rs.core.Response; @Path("/api") public class MyApi { @GET @Path("/someEndpoint") public Response someEndpoint(@QueryParam("token") String token) { if (TokenUtil.validateToken(token)) { String userId = TokenUtil.getUserIdFromToken(token); // 验证通过,执行相应的逻辑 return Response.ok().build(); } else { // 验证失败,返回错误信息 return Response.status(Response.Status.UNAUTHORIZED).build(); } } } ``` 在上述代码中,`generateToken` 方法用于生成 token,`validateToken` 方法用于验证 token 的有效性,`getUserIdFromToken` 方法用于从 token 中获取用户ID。在 API 接口中,通过调用 `validateToken` 方法来验证传递的 token,如果验证通过,则可以根据需要执行相应的逻辑。 请注意,上述代码中的 SECRET_KEY 是用于签名和验证 token 的密钥,应该保持安全,并且不应该直接暴露在代码中。可以将其存储在配置文件或环境变量中,并通过相应的方式获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值