API 签名认证_api签名认证

最新推荐文章于 2024-08-24 23:33:05 发布
最新推荐文章于 2024-08-24 23:33:05 发布
阅读量701 收藏 12
点赞数 11
文章标签: oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84240129/article/details/139928708
版权
  • 客户端携带参数
    /**
     * 将参数添加到请求头 map
     * @return
     */
    private Map<String, String> headerMap(String body) {
        HashMap<String, String> hashMap = new HashMap<>();
        hashMap.put("accessKey", accessKey);
        // 一定不能发送给后端!
//        hashMap.put("secretKey", secretKey);
        hashMap.put("nonce", RandomUtil.randomNumbers(5));
        hashMap.put("body", body);
        hashMap.put("timestamp", String.valueOf(System.currentTimeMillis() / 1000));
        hashMap.put("sign", SignUtil.genSign(body, secretKey));
        return hashMap;
    }
  • 服务端校验参数
  • 使用同一套加密算法 / 签名生成算法
package com.ghost.leapiinterface.utils;

import cn.hutool.crypto.digest.DigestAlgorithm;
import cn.hutool.crypto.digest.Digester;

/**
 * 签名生成工具类
 * @author 乐小鑫
 * @version 1.0
 * @Date 2024-02-02-15:43
 */
public class SignUtil {
    /**
     * 使用 MD5 加密算法生成签名
     * @param body 用户参数
     * @return 签名
     */
    public static String genSign(String body, String secretKey) {
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String str = body.toString() + "." + secretKey;
        return md5.digestHex(str);
    }
}


    @PostMapping("/user")
    public String getNameByJSON(@RequestBody User user, HttpServletRequest request) {
        // 获取请求头中携带的参数,校验调用接口的权限
        String accessKey = request.getHeader("accessKey");
//        String secretKey = request.getHeader("secretKey");
        String nonce = request.getHeader("nonce");
        String body = request.getHeader("body");
        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");
        // TODO 实际上要从数据库查是否已分配给用户
        if (!accessKey.equals("ghost")) {
            throw new RuntimeException("无权限");
        }
        // 校验随机数
        if (nonce.length() > 5) {
            throw new RuntimeException("无权限");
        }

        // TODO 校验时间戳 timestamp:和当前时间不能超过 5 min
        // 和客户端使用同一套加密算法进行校验
        String serverSign = SignUtil.genSign(body, "abcdefg");// 实际上要从数据库中取出数据进行校验
        if (!serverSign.equals(sign)) {
            throw new RuntimeException("无权限");
        }
//        System.out.println("getNameByJSON 被调用,accessKey: " + accessKey + "; secretKey:" +secretKey);
        return "POST 你的名字是:" + user.getUsername();
    }

四、API 签名认证的六个参数

  1. 用户标识 accessKey

  2. 密钥 secretKey:不能传递给后端❗

  3. 用户参数

  4. 签名 sign

  5. 随机数 防重放

  6. 时间戳 timeStamp

附:对称加密、非对称加密和单向加密

  1. 对称加密
  • 对称加密使用相同的密钥对数据进行加解密
  • 发送方和接收方必须事先共享密钥,否则无法进行加解密
  • 常见的对称加密算法:DES、3DES、AES 等
  • 适用场景:适用于数据传输量较大、安全性要求不是特别高的场景
  1. 非对称加密
  • 非对称加密则使用一对不同的密钥进行加解密,分别称为公钥和私钥
  • 公钥可以公开,任何人都可以使用它对数据进行加密
  • 私钥只能由密钥持有人保管,并用于解密数据
  • 常见的非对称加密算法:RSA、DSA 等
  • 适用场景:适用于对数据安全性要求较高的场景,例如数字签名、身份认证等
  1. 单向加密
  • 只能对数据进行加密,而无法逆向解密回原始数据
  • 举例:哈希函数
    • 相同的输入始终产生相同的哈希值
    • 即使输入数据发生微小变化,哈希值也会发生巨大变化
    • 无法从哈希值推导出原始输入数据
  • MD5、SHA-256 加密算法也是单向加密

举个例子,常见的哈希函数是 MD5 和 SHA-256。假设我们对字符串 “Hello, World!” 进行 MD5 哈希,得到的哈希值是 “65a8e27d8879283831b664bd8b7f0ad4”。无论我们多少次对这个字符串进行 MD5 哈希运算,都会得到相同的哈希值。但是,如果我们只知道哈希值 “65a8e27d8879283831b664bd8b7f0ad4”,是无法确定原始的字符串是 “Hello, World!” 的。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!

7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
img

网络安全工程师企业级学习路线

img
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

img
一些笔者自己买的、其他平台白嫖不到的视频教程。
img

2401_84240129
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
心知天气API签名文件
06-12
API签名是一个用于验证请求来源合法性的过程,它是通过一种特定的算法将请求的参数、密钥等信息组合成一个唯一的字符串,然后进行哈希运算,生成的哈希值就是API签名。 在这个"心知天气API签名文件"中,我们可以...
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
API.rar_sms api php
09-23
在实际应用中,开发者需要将API集成到自己的项目中,可能需要处理认证过程(如API密钥)、异常处理(如重试策略)、以及对发送结果的监控和报告。 总的来说,"API.rar_sms api php" 提供了一种使用PHP进行短信群发...
Java_api.rar_JAVA API接口
09-14
`Java_api参考书`可能是包含详细API说明的电子书籍或文档,涵盖了每个类和接口的功能、方法签名、使用示例等。这些文档通常按照包的层次结构进行组织,便于查找特定的功能。例如,`java.util`包包含了集合框架、日期...
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
[数据库][知识]SQL Server、MySQL 和 Oracle 的默认端口和数据库链接
一名不太专业的程序员
08-17 417
请确保在实际使用中,根据您自己的数据库配置(如主机名、端口、数据库名、用户名和密码等)来调整上述连接信息。同时,确保已经添加了相应数据库的 JDBC 驱动到您的项目依赖中。SQL Server、MySQL 和 Oracle 的默认端口号、连接 URL 和驱动类名。请注意,SQL Server 的 JDBC URL 格式可能需要根据实际的数据库实例进行调整,例如,如果数据库实例名称不是默认的。参数用于指定字符集,如果需要其他字符集设置,可能需要调整这些参数。指定了连接的主机和端口,
Mysql基础操作-常见SQL语句
最新发布
wendao76的专栏
08-24 512
这类语句用于定义数据库结构,包括创建、修改和删除数据库对象如表、索引、视图等。这类语句主要用于检索数据,通常指的是 SELECT 语句。这类语句用于管理事务,确保数据的一致性和完整性。这类语句用于添加、读取、更新和删除数据。这类语句用于管理数据库用户的权限。结合使用,用于过滤分组后的结果。用于提交当前事务中的所有更改。用于撤销当前事务中的所有更改。用于清空表中的所有数据。用于更新表中的现有记录。用于修改现有的表结构。用于向表中插入新记录。用于开始一个新的事务。用于撤销已授予的权限。用于创建新的数据库
数据实体类主键使用UUID生成策略
CSDN_920227的博客
08-23 178
如果你使用的是JPA进行数据持久化操作的开发者,如何在实体类中配置UUID作为主键生成策略。通过@Entity、@Table、@GenericGenerator和@GeneratedValue等注解,可以实现自动为数据实体生成唯一的UUID主键,无需手动设置id字段。在执行save方法后,JPA将自动生成并插入32位长度的UUID到数据库对应的主键字段。如果你想在数据库中使用UUID作为主键,确保你的数据库支持UUID类型的字段,并在实体类中适当地注解该属性,例如使用JPA的。
【Windows下Oracle 11G 安装教程】
u014559722的博客
08-20 704
新手完成一次Oracle 11数据库的配置及安装,分享安装数据库方法及经验
Oracle开始严查Java许可!
CodeSheep
08-23 297
1995年5月,Oak语言才更名为Java(印度尼西亚爪哇岛的英文名称,因盛产咖啡而闻名),并于当时的SunWorld大会上发布了JAVA 1.0,而且那句“Write Once,Run Anywhere”的slogan也是那时候推出的。比如像阿里的Dragonwell,腾讯的Kona,AWS的Amazon Corretto,以及Azul提供的Zulu JDK等等,都是这类典型的代表。众所周知,Oracle接手Java之后,就迅速开始了商业化之路的实践,也于后续推出了一系列调整和改革的操作。
POJO、PO、DTO、VO、BO到底是什么?都如何使用?(基础概念+传输示意图+示例代码)带你一次玩转层出不穷的Object
GSCY
08-24 577
在某些项目中可能会把代码结构拆分得更加细致,所以本文主要是帮助各位朋友去理解这些容易混淆的“对象”。
[sqlserver][sql]sqlserver查询表信息和字段信息
一名不太专业的程序员
08-20 437
这个查询使用子查询来列出当前数据库中所有表的名称,然后从INFORMATION_SCHEMA.COLUMNS视图中检索这些表的所有字段信息。请注意,您的原始语句中有一个拼写错误,应该是sys.objects而不是sys.sysobjects。这个查询使用INFORMATION_SCHEMA.COLUMNS视图来获取名为zsyh_AccInfo的表的所有字段信息。请注意,表名是区分大小写的,确保表名大小写正确。这个查询使用sys.columns系统视图来获取名为table1的表的所有字段信息。
oracle中创建视图,将一个表中多条数据整合成一条
Canace_Xyxjjcaw的博客
08-20 310
要求:根据coil_id和passnum检索出多组数据,根据coil_id和passnum求M2-M16的平均值保留三位小数,并写入到新的视图中。结果:在视图FEEDBACK_L1中根据coil_id 和 passnum检索只有一条数据,并且值的来源为上述多组的均值。创建视图 FEEDBACK_L1。
如何使用查询路由构建更先进的 RAG
CSDNDN的博客
08-24 267
目前大部分RAG的实践方案都是通过检索模型从外部数据库中获取与输入相关的文档或信息;然后,将这些信息与输入结合,输入到生成模型中进行文本生成。这种方案往往会有一个问题就是所有的数据都存储在一起,但这往往是没法在生产实践的,一般情况下单个prompt无法处理所有情况,单个数据源也可能无法适合所有数据。比如这个问题:假设现在需要构建一个聊天机器人来回答员工有关管理的问题,例如工资或绩效相关的问题。如果查询涉及员工福利、绩效评估、休假政策或任何与人力资源直接相关的主题,我们需要将查询路由到 HR 向量数据库
数据库MySQL之事务、索引
chencxiaobai的博客
08-20 1190
数据库事务、索引介绍、Mysql默认索引结构B+Tree介绍。
ORACLE】decode() 函数
weixin_44203221的博客
08-23 1186
Oracle】Decode函数
数据库表优化实践指南
weixin_42564451的博客
08-20 1449
它类似于书的目录,允许数据库快速定位到所需的数据,而无需扫描整个表。数据库规范化是一种系统化的方法,用于组织数据以减少冗余和提高数据完整性。分区允许将大表分割成更小的、更易管理的部分,每个分区可以独立存储和操作。读写分离将读操作和写操作分配到不同的数据库实例,提高系统的并发处理能力。分库分表是将数据分散到多个数据库或表中,突破单一数据库的性能限制。垂直分割将表中的列分到不同的表中,通常基于列的使用频率或大小。水平分割将表的行分配到不同的表或数据库中,通常基于某个列的值。
mp总结 mybatisPlus
2302_77426533的博客
08-23 747
利用wrapper构建where条件mp。
Oracle 11G 配置使用教程1】
u014559722的博客
08-20 813
完成了数据库的安装,现在完成数据库的创建及简单配置连接
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值