接口加密方法(实际上也就是参数加密)

最新推荐文章于 2024-07-22 18:00:00 发布
最新推荐文章于 2024-07-22 18:00:00 发布
阅读量4.2k 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CryBoyJava_WF/article/details/72357951
版权

接口加密听起来高大上  ,然而实际上确实将需要传递的参数 与特定的标识key以及其他的固定的属性来组合成一个字符串或者集合传递给对方


对方再通过特定的key特定的属性去解密传过来的字符串或者集合,从而获取传过来的参数或者结果集


这里重要的便是 这些固定的key或者属性是不能够泄密的


废话少说 ,上代码供看管审查:


项目传递参数的时候类型大多数都是以map 或者字符串或者json来传递的,这里以map为例

定义一个map集合


Map<String, String> paramMap = new HashMap<String, String>();


向map集合中添加我们的请求参数


paramMap .put("requestKey","123");//  requestKey 为请求对方接口的固定参数名称 当然可能不止一个,其余的直接加上便是


组装map集合,形成加密map集合,传递:


map.put("ctime", (System.currentTimeMillis()/1000)+"");//当前系统时间戳
map.put("nonce", RandomStringUtils.randomAlphanumeric(32));//随机数
map.put("key", CommonConstants.KEY);//约定的key  约定的key只有双方知道 ,这里是不对外暴露的
map.put("sign",SHA.sha(MapUtil.createSortStr(new ArrayList<String>(map.values()))));//签名   签名是通过特定的算法来的 现在算法网上很多
map.remove("key");//移除约定的key  移除key的目的是对方要通过他们key来解析这个map集合,解析通过才能获取到请求参数或者返回结果集

这里说明下 SHA.sha() 方法

SHA.sha(MapUtil.createSortStr(new ArrayList<String>(map.values())))


MapUtil.createSortStr(new ArrayList<String>(map.values()))


这里是map工具类转化工作

new ArrayList<String>(map.values())  首先将map集合中value转为list类型

/**
     * 对集合字典排序
     * @param list
     * @return
     */
    public static String createSortStr(List<String> list){
    Collections.sort(list);
    // 注意:是根据的汉字的拼音的字母排序的,而不是根据汉字一般的排序方法  这里只是简单的一种 其他的可以双方协定自己定义
    String sortStr = "";
    for(int i=0;i<list.size();i++){
    sortStr = sortStr + list.get(i);
    }
    return sortStr;
    }

字符串加密方法   sha


/** 
* 字符串 SHA 加密 
*  
* @param strSourceText 
* @return 
*/  
public static String sha(final String strText){  
// 返回值  
String strResult = null;  


// 是否是有效字符串  
if (strText != null && strText.length() > 0)  
{  
try  
{  
// SHA 加密开始  
// 创建加密对象 并傳入加密類型  
MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");  
// 传入要加密的字符串  
messageDigest.update(strText.getBytes());  
// 得到 byte 類型结果  
byte byteBuffer[] = messageDigest.digest();  


// 將 byte 轉換爲 string  
StringBuffer strHexString = new StringBuffer();  
// 遍歷 byte buffer  
for (int i = 0; i < byteBuffer.length; i++)  
{  
String hex = Integer.toHexString(0xff & byteBuffer[i]);  
if (hex.length() == 1)  
{  
strHexString.append('0');  
}  
strHexString.append(hex);  
}  
// 得到返回結果  
strResult = strHexString.toString();  
}  
catch (NoSuchAlgorithmException e)  
{  
e.printStackTrace();  
}  
}  
return strResult;  


这里简单以sha256方式加密  


这样  签名sgin便获取到了  ,然后将key移除


对方获取的时候便要匹配这个签名sign的值  ,因为map里面没有key 所以要根据事先约定的key来解析这个签名


解析方法同理:map集合加上key后 再生成一个sign签名 ,然后拿着这个签名跟借用接口传过来的map集合中的签名去匹配 ,通过即可运行,不通过便返回签名错误


这里加密方式  是以sha256方式来计算的


到这里基本上接口加密已经完成了 ,接口的安全性在不暴露的情况下还是可以防止


弊端:  key的泄露

而且key不能一直保持不变,而是通过一直特定的规律去变化,特定的时间特定的值


当然这里省略了一部分 ,是无关紧要的 ,理解这个流程即可,毕竟每个公司的接口加密都是不一样的 



进阶得小白鼠
关注
Api接口加密策略
weixin_33877885的博客
12-19 2962
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
Python实现加密接口测试方法步骤详解
12-17
- **发送请求并获取响应**:最后,使用requests.get()方法发送带有加密参数的GET请求,并捕获响应。检查响应状态码(如200表示成功)以及解密返回的数据,验证其正确性。 3. **测试工具的加密算法差异**: 不同的...
接口参数加密
yarbrough
08-15 2849
最近,公司有一些接口需要对合作方开放,需要做参数加密以及合作方身份认证,下面是我的做法: 思想:因为部分接口需要加密,所以通过自定义注解,加上注解的接口才进行校验。 我们会为合作方下发 partnerId 和 privateKey ,客户端和服务端保留这两个信息。 加密方式: 1.必须提交的参数 POST提交 signature: 签名 //必填 partnerId: 合作者ID //必填 t...
十种接口安全方案!!!
最新发布
Karka_的博客
07-22 960
日常开发中,如何保证接口数据的安全性呢?接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。介绍下保证接口数据安全的10个方案。数据加签:用Hash算法(如MD5,或者SHA-256)把原始请求参数生成报文摘要,然后用私钥对这个摘要进行加密,就得到这个报文对应的数字签名sign(这个过程就是加签通常来说呢,请求方会把数字签名和报文原文一并发送给接收方。![图片](https://img-验签。
API 接口加密及请求参数加密
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
如何写出安全的API接口参数加密+超时处理+私钥验证+Https)- 续(附demo)
dengcu1321的博客
12-14 997
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出。 对于安全也是相对的,下面我来根据安全级别分析 1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。 实话说,这...
如何优雅的实现 Spring Boot 接口参数加密解密?
江南一点雨的专栏
03-09 5684
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应加解密的思路。 分享 ResponseBodyA
java接口 参数MD5加密.zip
06-19
5. **接口加密流程** - 接口调用前,客户端对所有敏感参数进行MD5加密,生成加密后的值。 - 客户端发送包含加密参数的请求到服务器。 - 服务器接收到请求后,解密参数并进行合法性检查。 - 如果参数校验通过,...
SpringBoot接口加密解密统一处理
08-25
总结来说,SpringBoot接口加密解密的统一处理可以通过以下步骤实现: 1. 定义自定义注解`DecryptRequest`和`EncryptResponse`,分别用于控制请求解密和响应加密。 2. 创建一个工具类`NeedCrypto`,用于判断接口是否...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密是指在传输接口调用时,对请求参数进行加密,以防止数据在传输过程中被窃取或篡改。常见的加密算法有AES(高级加密标准)、RSA(公钥加密技术)和HMAC(哈希消息认证码)。通过加密,即使数据在网络中被...
php-app开发接口加密详解
10-18
综上所述,接口加密的目的是保护数据安全,防止数据在传输过程中被篡改。通过在客户端和服务器端分别进行签名生成和验证,确保了接口调用的完整性和一致性。这种加密规则提供了一种相对安全的数据交换机制,但实际...
AES 加密算法接口及演示程序
02-23
(*****************************************************)(* *)(* Advanced Encryption Standard (AES) *)(* Interface Unit v1.3 *)(* *)(* Readme.txt 自述文档 2004.12.04 *)(* *)(*****************************************************)(* 介绍 *)AES 是一种使用安全码进行信息加密的标准。它支持 128 位、192 位和 256 位的密匙。加密算法的实现在 ElAES.pas 单元中。本人将其加密方法封装在 AES.pas 单元中,只需要调用两个标准函数就可以完成字符串的加密和解密。(* 密匙长度 *)128 位支持长度为 16 个字符192 位支持长度为 24 个字符256 位支持长度为 32 个字符所有加密和解密操作在默认情况下为 128 位密匙。(* 文件列表 *)..Source AES 单元文件..Example 演示程序(* 适用平台 *)这份 Delphi 的执行基于 FIPS 草案标准,并且 AES 原作者已经通过了以下平台的测试: Delphi 4 Delphi 5 C++ Builder 5 Kylix 1本人又重新进行了补充测试,并顺利通过了以下平台: Delphi 6 Delphi 7特别说明: 在 Delphi 3 标准版中进行测试时,因为缺少 Longword 数据类型和 Math.pas 文件,并且不支持 overload 指示字,所以不能正常编译。(* 演示程序 *)这个示例程序演示了如何使用 AES 模块进行字符串的加密和解密过程。(* 使用方法 *)在程序中引用 AES 单元。调用函数 EncryptString 和 DecryptString 进行字符串的加密和解密。调用函数 EncryptStream 和 DecryptStream 进行流的加密和解密。调用过程 EncryptFile 和 DecryptFile 进行文件的加密和解密。详细参阅 Example 文件夹中的例子。(* 许可协议 *)您可以随意拷贝、使用和发部这个程序,但是必须保证程序的完整性,包括作者信息、版权信息和说明文档。请勿修改作者和版权信息。 这个程序基于 Mozilla Public License Version 1.1 许可,如果您使用了这个程序,那么就意味着您同意了许可协议中的所有内容。您可以在以下站点获取一个许可协议的副本。 http://www.mozilla.org/MPL/许可协议的发布基于 "AS IS" 基础,详细请阅读该许可协议。Alexander Ionov 是 AES 算法的最初作者,保留所有权利。(* 作者信息 *)ElAES 作者:EldoS, Alexander IonovAES Interface Unit 作者:杨泽晖 (Jorlen Young)您可以通过以下方式与我取得联系。WebSite: http://jorlen.51.net/ http://mycampus.03.com.cn/ http://mycampus.1155.net/ http://mycampus.ecoo.net/ http://mycampus.5500.org/Email: stanley_xfx@163.com
几种简单常用的加密方式
05-05
有几种常见的加密方式和实现.
Java:接口参数加密
ql_gome的博客
08-21 811
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档加密原理:生成一个随机串,用该随机串对请求参数进行非对称加密,然后再对该随机串进行对称加密,生成签名和验签过程中,对参数进行了排序。
接口数据加密方式
m0_38084895的博客
12-26 1128
对API接口数据加密 对请求来源IP地址进行判断 对appid进行确认是否存在 判断时间戳是否在有效时间内 对验签sign进行校验,判断是否正确 对某些特定请求利用Token进行校验(判断token是否正确和token是否可用) 主要在过滤器和拦截器中集中处理,对于token也可利用spring的AOP进行处理等 ...
阿里大S,强推,接口测试之必会接口加密类型
fx20211108的博客
11-24 428
对称加密 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。 定义 需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。 所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。 因此加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和...
接口访问加密方式
热门推荐
tiansan的博客
11-28 1万+
接口加密方式设计: 请求时签名 请求的所有参数自然排列,先进行des加密再进行base64加密生成最新字符串(作为sign)。 把生成的sign+约定的秘钥拼接成新的字符串,进行md5加密成新的字符串(作为md5)。 例如:  // 1. 将参数按照 键 自然排序并拼成URL参数形式     $data['phone']='11111111111';       $data['u
Spring 接口参数加密传输
weixin_30616969的博客
06-11 188
加密方式 AES spring jar 包 pom.xml配置(注意版本) <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> ...
api接口加密_解决API接口开发安全性的四种方案
weixin_39677419的博客
11-22 698
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值