如何设计安全可靠的开放接口---之AppId、AppSecret

已于 2022-06-07 08:08:34 修改
阅读量4.7k 收藏 13
点赞数
分类专栏: 经验分享 文章标签: java 开发语言
于 2022-05-17 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_WYL2016/article/details/124696845
版权

文章目录

【如何设计安全可靠的开放接口】系列

1. 如何设计安全可靠的开放接口—之Token
2. 如何设计安全可靠的开放接口—之AppId、AppSecret
3. 如何设计安全可靠的开放接口—之签名(sign)
4. 如何设计安全可靠的开放接口【番外篇】—关于MD5应用的介绍
5. 如何设计安全可靠的开放接口—还有哪些安全保护措施
6. 如何设计安全可靠的开放接口—对请求参加密保护
7. 如何设计安全可靠的开放接口【番外篇】— 对称加密算法

前言

前面我们介绍过了token机制,它可以解决单点登陆、跨域等问题,避免每次都需要用户登陆,不过并不是每个对外开放的接口都是需要用户登陆的,如果是这样,那我们就要想其他的方式来对用户身份进行验证了,一般我们会使用AppId的方式,实际上你也可以认为它是一种token机制,只不过换一个名字而已。

AppId的使用

因为AppId实际上就是一个标识,所以一般只要能保证系统内全局唯一即可,不过,为了能够防止有人拿着别人的AppId来请求,所以通常AppId都会配对一个AppSecret,可以理解为AppId的密码,最终的接口请求内容会根据AppIdAppSecret并按照一定的规则来生成一套签名,当请求方带着签名值去请求提供方时,提供方就会验证这个签名,只有验证通过才会继续处理。

AppId的生成

正如前面所说,AppId生成只要保证全局唯一即可,所以这里就不过多介绍了。

AppSecret生成

AppSecret的生成也很简单,只要与AppId能关联起来保证唯一即可。

PS:AppSecret后续会用于生成Sign(签名),因此一定要注意AppSecret的保密性,并且不能在网络中进行传输。

appSecret生成代码示例


public class AppUtils {

    static Map<String, String> appMap = Maps.newConcurrentMap();

    public static void main(String[] args) throws NoSuchAlgorithmException {
    	// 方式一演示
        buildSimpleAppSecret("abc");
        System.out.println(getAppSecret("abc"));
    }

    /**
     * 构建简单的appSecret,比如:使用UUID
     *
     * @param appId
     */
    public static void buildSimpleAppSecret(String appId) {
        appMap.put(appId, UUID.randomUUID().toString());
    }

    private static String getAppSecret(String appId) {
        return String.valueOf(appMap.get(appId));
    }
}

总结

AppIdAppSecret的生成都比较简单,总的来说只要保证唯一、且能够匹配的上即可,需要注意的就是AppSecret就像是密码一样,是需要保密的,接口请求方与接口提供方可以通过私信沟通的方式来约定AppIdAppSecret,当然做的比较好的是,接口提供方通过专门的工具让接口请求方自行生成AppSecret

另外, AppIdAppSecret必须要结合sign(签名)使用,否则就没有意义,下节我们就来介绍sign

码拉松
关注
专栏目录
API开放接⼝设计appIdappSecret,accessToken(同微信开发平台接⼝)
AI天才研究院
03-06 2万+
为每个合作机构创建对应的appidapp_secret,⽣成对应的access_token(有效期2⼩时),在调⽤外⽹开放接⼝的时候,必须传递有。如:微信公众号开发调⽤微信接⼝,下⾯就⾃⼰写⼀个类似于微信开发api 开放接⼝平台。使⽤ access_token 验证通过才能正常调⽤开放API 接⼝。统⼀拦截所有开放接⼝的请求,判断accessToken 是否有效。效的access_token。使⽤流程:同调⽤第三⽅平台接⼝。/openApi 下的所有接⼝。使⽤流程:同调⽤第三⽅平台接⼝。
开放api接口平台appidappkeyappsecret
qq_45042752的博客
04-11 1万+
目录 一、什么是appidappkeyappsecret 二、云服务AppIdAppKeyAppSecret生成策略 三、API接口开发安全性 四、基于AccessToken方式实现API设计 五、常见问题总结 六、参考 一、什么是appidappkeyappsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id
appidappkeyappsecret
BLOCKGOLD.E的博客
05-15 2640
什么是appidappkeyappsecret,使用场景
生成自己的AppIDAppSecret(算法仅供参考)
热门推荐
jqdfTiTan的博客
01-08 2万+
创建Proof表用于存储生成AppIDAppSecret 字段:id(int(10)) 、 appid(bigint(20)) 、 appsecret(varchar(100))   、 create_time(int(11)) ThinkPHP $appid = M('Proof')->query('select uuid_short()'); $pattern = 'ab
API开放接⼝设计appIdappSecret,accessToken
emprere的博客
06-20 546
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf⼀、开放接⼝设计说明:为每个合作机构创建对应的appidapp_secret,⽣成对应的access_token(有效期2⼩时),在调⽤外⽹开放接⼝的时候,必须传递有效的access_token。使⽤ access_token 验证通过才能正常调⽤开放的 ...
API 开放接口设计appIdappSecret,accessToken (同微信开发平台接口)
ws - 兮的博客空间
12-03 1万+
一、开放接口设计说明: 为每个合作机构创建对应的appidapp_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 如:微信公众号开发调用微信接口 二、数据库表设计 App_Name 表示机构名称 App_ID 应用id App_Secret 应用密钥 (可...
Node.js-基于微信服务号API和Meteor开发课程管理SaaS平台
08-10
1. 微信服务号的注册和认证流程,包括申请开发者权限和获取AppIDAppSecret。 2. 使用Node.js的微信SDK,如`wechat-api`,实现服务号API的调用,包括OAuth2.0授权和消息推送。 3. 设计和实现课程管理的业务逻辑,如...
MIOT FDS功能指南-微服务1
08-03
- **创建云服务密钥**:在小米开放平台创建云服务密钥,生成AppIDAppKeyAppSecret。 - **授权读写权限**:在小米生态云控制台,为云服务密钥设置Bucket的读写权限,Grantee应为步骤1创建的云服务密钥/AppID。 ...
【微信APP支付】接口文档V1.2_For_IOS1
08-03
它由AppIDAppSecret通过HTTPS协议向微信开放平台的`cgi-bin/token`接口请求获取。AppIDAppSecret是在开放平台注册并审核通过后获得的,必须保持机密,不应直接在客户端代码中硬编码。`access_token`的有效期为...
集成微信jssdk的所有功能,填写appidappsecret就可以使用
08-25
集成微信jssdk的所有功能,填写appidappsecret就可以使用
微信开发网页获取用户信息封装类 传入(AppID AppSecret)
01-18
微信开发网页获取用户信息封装类2.0授权 传入(AppID AppSecret)即可获取用户信息 直接获取openid不需要用户授权。 友情提示:需要认证的服务号才有获取权限的资格
基于STM32设计的智能门锁(微信小程序+手机APP等多种方式开锁)(188)
最新发布
07-17 9048
当前智能门锁项目是基于STM32微控制器、ESP8266-WIFI模块、OLED显示屏、指纹模块、蓝牙模块、门禁刷卡模块、烟雾检测模块、火光检测模块、温湿度检测模块等硬件设备开发的一种智能门锁系统
API接口:高效获取结构化领域数据
AI天才研究院
05-02 1112
在当今数字化时代,数据已成为驱动业务决策和创新的核心资源。随着互联网技术的快速发展和各行各业对数据需求的不断增长,如何高效、安全、准确地获取结构化领域数据成为了一个关键问题。API(应用程序编程接口)作为连接不同软件系统和服务的桥梁,在解决这一问题中扮演着至关重要的角色。背景介绍核心概念与联系核心算法原理与操作步骤数学模型和公式项目实战实际应用场景工具和资源推荐总结:未来发展趋势与挑战附录:常见问题与解答扩展阅读 & 参考资料。
如何查看小程序的APPIDAppSecret
weixin_64051447的博客
07-21 3554
开发管理/开发配置里面就查看appid以及AppSecret。
设计一个安全的对外开放接口+实现案例
十指演绎悲伤的博客
06-19 2360
对外开放接口
我们是这样设计对外安全接口
wistchen
11-27 3550
背景 在日常工作中难免会调用第三方系统的接口,一个项目会有多个服务组合而成,负责各自核心的服务,在接触的项目中他主要以门户服务、核心服务组合而成。 大部分门户服务会调用核心服务。当然如果有支付业务,会调用其他部门的支付服务,这样的话设计一个统一安全的对外接口就极为重要。 安全措施 AppId机制 并不是谁都可以来调用的服务的。需要使用接口的服务需要在后台开通appId和相应密钥。 数据加密 数据在传输的过程中是很容易被抓包的,常见的做法对请求的内容做数据加密。 数据加签 数据在传输的过
微信小程序注册流程及APPIDAPPSecret获取
weixin_42242910的博客
06-01 4943
的时候小程序账号信息是必填项,因此在注册小程序以后,需要补充小程序的基本信息,如名称、图标、类目等。体验版本:通过微信公众平台发布为体验版本,仅供测试人员使用(不超过15人,需要开发者进行添加对应测试的微信账号)小程序密钥(AppSecret)生成后需自己妥善管理,后续平台不可再次明文查看,忘记秘钥只可重置生成操作。线上版本: 提交微信公众平台的官方审核通过之后,生成正式的二维码,真实用户扫码使用的小程序版本。在完成小程序账号的注册后,需要打开微信公众平台对小程序账号进行一些设置,这是因为小程序在。
微信开发者之AppIDAppSecret举例子
s_sos0的博客
05-13 5132
微信开发者之AppIDAppSecret 微信开发者之AppIDAppSecret 微信开发者之AppIDAppSecret
ios 仿微信开红包实现
11-26
首先,需要在iOS开发环境中创建一个新的项目,然后引入微信开放平台的SDK,获取AppIDAppSecret,以便后续与微信进行交互。 接下来,需要使用微信SDK中提供的相关接口,实现用户授权登录微信并获取用户信息的功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码拉松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值