接口安全--http数字签名

最新推荐文章于 2024-03-04 21:35:30 发布
最新推荐文章于 2024-03-04 21:35:30 发布
阅读量1.2w 收藏 10
点赞数 1
分类专栏: ------------javaWeb 文章标签: sign-http 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011521890/article/details/55506716
版权

为了保证http请求数据的安全性和防篡改性。我们通常要对请求参数进行一些加密。
加密规则可以根据双方接口协商定义。这里举一个常用的加密协议例子。

1. sign加密协议

接口协议中通常会提供一个 appKey作为唯一的标识。
appSecret作为接入密钥。
例如:appkey=hh appSecret=39ertfefdsg406c7c36592d42022aaecc
请求路径
http://www.example.com/login
请求参数
appKey hh 合作方平台标识
username 用户名
password 密码
time Unix时间戳(10位)
sign 签名串

2. 加密要求

将筛选的参数按照第一个字符的键值ASCII码递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的键值ASCII码递增排序,以此类推。
将排序后的参数与其对应值,组合成“参数=参数值”的格式,并且把这些参数用&字符连接起来,此时生成的字符串为待签名字符串
生成签名
sign = md5(待签名字符串)
示例
例如:
sign = md5(待签串)
参数表为:
appKey=hs,
username=lzl,
password=88fsdfgsff8fd9ssg99
time=1432432234
待签名字符串为(取排序后的结果,这里key不参与排序):
appKey=hh&password=HG20170113140431206&time=1423212323&key=密钥

3. 处理流程

我们根据加密要求,把要传送的字段进行排序和MD5加密。将加密后的结果和传输的字段一并送过去。
appKey=hh&password=HG20170113140431206&time=1423212323&key=密钥&sign=签名串。
验证方式:
如何保证这条http请求能够正常相应数据呢?提供接口方,也是根据传输的字段进行排序和MD5加密。将加密后的结果verifySign与sign进行
比较。如果相同,就说明是一个正常的请求。反之,就是以非法请求。
代码示例:

public class MD5Utils {
    /**
     * 参数签名加密
     * @param parameters
     * @param secret
     * @return
     */
    public static String signRequest(TreeMap<String,String> parameters,String secret,String charset){

        TreeMap<String, String> treeMap = new TreeMap<>(new Comparator<String>() {

            @Override
            public int compare(String o1, String o2) {
                return o1.compareTo(o2);
            }
        });
        treeMap = (TreeMap<String, String>) parameters;
        System.out.println("升序排序结果:"+treeMap);
        StringBuffer sb = new StringBuffer();
        //把map中的集合拼接成字符串
        for(Map.Entry<String, String> entry:treeMap.entrySet()){
            String key = entry.getKey();
            Object value = entry.getValue();
            sb.append(key).append("=").append(value).append("&");
        }
        sb.append("key").append("=").append(secret);
        System.out.println("拼接后的字符:"+sb.toString());
        //进行MD5加密
        String sign = DigestUtils.md5Hex(getContentBytes(sb.toString(), charset));
        System.out.println("加密后的签名:"+sign);
        return sign;
    }
     /**
     * @param content
     * @param charset
     * @return
     * @throws SignatureException
     * @throws UnsupportedEncodingException 
     */
    private static byte[] getContentBytes(String content, String charset) {
        if (charset == null || "".equals(charset)) {
            return content.getBytes();
        }
        try {
            return content.getBytes(charset);
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException("MD5签名过程中出现错误,指定的编码集不对,您目前指定的编码集是:" + charset);
        }
    }
    public static void main(String[] args) {
        TreeMap<String,String> treeMap = new TreeMap<>();
        treeMap.put("appKey", "hh");
        treeMap.put("username", "1335288");
        treeMap.put("password", "435rewt32423ewt4325terw");
        treeMap.put("time", String.valueOf(System.currentTimeMillis()/1000));
        String key = "密钥";
        MD5Utils.signRequest(treeMap,key,"utf-8");
    }
}
阿卧
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
AliyunSignature - CSDN.zip
07-26
要实现对基于阿里云物联网平台的设备的控制,就需要调用阿里云的API。这些API不会让我们随意调用,而是有相当严格的审核机制,确保数据的安全。这种机制就是“签名机制”,我们每调用一次可以对硬件进行操作的API,就需要提供一次“数字签名”,阿里云物联网平台对每个接口访问请求的发送者进行身份验证,所以无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名Signature)信息。阿里云只提供了数字签名的基本知识和一些代码,要想让这些代码跑起来,真正计算出来我们的数字签名,作者通过eclipse成功调试通过了数字签名算法,这就是源代码的压缩包。具体操作的步骤,请关注作者的CSDN博客,原文链接是https://blog.csdn.net/youngwah292/article/details/119089243?spm=1001.2014.3001.5501
http请求签名生成算法
瑾修的博客
12-02 739
http请求签名生成算法、 lua & golang
如何保证对外接口安全
最新发布
m0_49692893的博客
03-04 539
【代码】调用第三方接口前进行生成Token及校验Token。
论文研究-数字签名认证在DVD版权保护中的应用研究.pdf
07-22
提出了一个基于DSA数字签名认证的DVD数字接口方案,探讨了对设备的合法性进行身份认证的研究,保证了数据的完整性,并有较强的安全性。
支付宝签名与验签,return_url和通知页notify_url
cswhl的博客
04-10 8537
1 支付宝签名与验签 签名与验签的作用 首先了解下使用RSA签名与验签的作用是什么? 对数据进行签名后,可以保证数据完整性,机密性和发送方角色的不可抵赖性,可以有效防止请求信息信息被篡改。 以商户服务端(A)、支付宝服务端(B)、发送的消息内容(C)、加密后的签名(D)举例如下: • 签名:商户A将需要发给支付宝B的消息内容C利用app私钥进行加密得到签名D。然后A将C和D一起发给B。 • 验签:支付宝B接收到内容C和签名D后,使用app公钥进行验证,验证签名D解密后的内容是否与内容C相同,相同返回tr
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7195
java sign签名认证
httpsign:签署HTTP消息中间件
05-01
httpsign 基于对消息中间件进行。 例子 package main import ( "github.com/gin-contrib/httpsign" "github.com/gin-contrib/httpsign/crypto" "github.com/gin-gonic/gin" ) func main () { // Define algorithm hmacsha256 := & crypto. HmacSha256 {} hmacsha512 := & crypto. HmacSha512 {} // Init define secret params readKeyID := httpsign . KeyID ( "read" ) writeKeyID := httpsign . KeyID ( "write" ) secrets := http
http接口签名机制
Monten_Cristo的博客
06-26 2486
第三方接口
http请求中简单的签名验证
qmister
08-01 2865
安装 安装包文件 composer require "entere/sign:v1.0.0" 使用 php 实例: <?php require_once("./src/Sign.php"); use Entere\Sign\Sign; $params = [ 'access_key'=>'7576762362', 'timestamp'=>'1439279383630', 'screen_name'=>'entere', 'forma
支付宝接口http请求及sign加密
热门推荐
HZX19941018的博客
03-16 4万+
博主昨天在实现一个需求,因为用到支付宝接口HTTP方式请求,特意将过程分享记录下来 还是要吐槽下支付宝的文档以及技术人员,根本写的不详细,最后还是去看了他们的代码实现过程,最终实现,下面向大家分享,首先我们先封装一个基础类,里面包含了sign加密、请求url以及处理结果,代码如下: &lt;?php /** * 支付宝公共方法 * Created by Php...
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1038
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户名密码安全传输的问题. 用户名和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
02 电子政务数字证书应用接口规范——国密局2010-08.pdf
06-09
证书解析函数、随机数函数、签名验证函数、加解密函数、时间戳函数以及数据服务函数u通过以上 函数的定义,可以提供完菩的证书应用服务功能,有利于提升电子政务业务系统的安全等级,促进数字证书在各系统间的兼容性...
基于共享式存储的智能终端数字签名方案
01-19
在传统互联网中,USB key+数字证书是最成熟的应用安全保障技术,但在移动互联网领域,由于智能终端接口等方面的限制,证书难以直接使用。探讨了在智能终端使用智能卡作为数字证书存储介质,支持多个数字证书,通过...
证卡打印机ING-171参数
10-10
打印能力:连续灰度黑白图片及彩色图片/文字、徽标、数字化签名/各种条形码/背景图案 打印区间:卡片任何部分(凸起表面除外,如签名条) 保护膜及安全水印功能:可选择打印图象及文本的同时打印保护膜及安全水印,...
接口开发经验之谈
u011521890的专栏
05-06 1万+
前言:现在开发中常使用前后端分离,后台开发使用springMVC框架进行后台接口的开发。经过最近的开发对接口开发有了一些新的体会,在这里做一下总结。 希望能和大家交流一下,并能吸取更多接口开发方面的经验。接口开发格式的封装返回接口的格式要有固定的格式,这样前端人员能够进行规律的解析。 例子 { "code": 0, "msg": "成功", "data": {} }这样的格式是长使用的
quartz1.8+spring2.3.9实现从数据库中读取定时任务
u011521890的专栏
03-19 1万+
环境配置quartz1.8和spring3.2.9。 quartz2.0以上和之下的版本差别有些不同。 我使用的是1.8版本的。数据库建表语句CREATE TABLE `report_tasks_manager` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键id', `task_desc` varchar(255) DEFAULT
eclipse创建hibernate.cfg.xml文件
u011521890的专栏
05-29 9923
今天用到hibernate操作数据库,虽然学过,但是经常性的会忘记,所以在这里总结一下。希望也能给大家带来帮助。 首先使用eclipse工具,若想快捷创建hibernate文件的话,要下载hibernate tools 在eclipse-->help--->Install New Software里面输入网址: http://download.jboss.org/jbosstools/u
zk-web应用型框架学习(一)
u011521890的专栏
02-22 8180
zk是一个可以与java语言进行交互的web应用型框架,使用zk框架,一定程度上免去写javascript代码,而且能够很好的完成界面的交互。 类似于Android应用,它的前端布局也是一系列的控件,并且可以绑定一些事件。1.eclipse下搭建zk环境在 help–>install new software中加载插件 链接地址:http://studio.zkoss.org/resource/
usb转串口驱动程序数字签名
11-13
数字签名是一种确保文件或者程序来源和完整性的技术手段,可以通过数字签名来验证软件的真实性和安全性。 为了确保USB转串口驱动程序的安全性,厂商通常会对其进行数字签名数字签名是通过使用厂商的私钥对驱动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值