接口签名原理 以及反思

已于 2022-06-10 10:56:21 修改
阅读量407 收藏
点赞数
分类专栏: Java 开发 文章标签: 安全
于 2022-06-10 10:45:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/John_desheng/article/details/125217017
版权

使用用户名 Appkey 密码 AppSecret (只有双方知道) 时间戳 所有拍过序的参数 组合起来,MD5加密,加密得到的签名

因为MD5是hash 函数,根据hash函数的特性 单项性,反向计算是不可能的;

比如sign=MD5(用户名 +密码+时间戳+参数)
及时中间截获了sign 签名,没有办法反向 解密,只要在服务端验证签名再次MD5 计算一遍,看签名是否正确,实现接口安全性;

密码是只有双方才知道的,及时知道参数,因为不知道密码所以 ,没法获得正确的签名;

如果是密码也知道了,比如内部人员的恶意攻击呢?

因为有时间戳,可以约定多长时间内有效,如果知道了时间戳的格式呢?比如内部人员呢,

所以这样来看是有漏洞的;

如果时间戳约定的时间,在某一段时间有效,比如10秒内,这样会好点,因为泄密也有一定的时间,当对方拿到appkey 再去请求,时间已经过了

appsecret 的存储,如果存储?

John_desheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9295
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
appKey&appSecret 加密验签算法
最新发布
Soujer的博客
05-27 523
请求参数 依次从a-z排列 然后拼接后加入加密app_secret 然后MD5加密 即可得到签名字符串。
移动应用开发中AppID、AppKey、AppSecret到底是什么?
热门推荐
java
10-24 4万+
AppID:应用的唯一标识 AppKey:公匙(相当于账号) AppSecret:私匙(相当于密码) token:令牌(过期失效)   使用方法 1. 向第三方服务器请求授权时,带上AppKey和AppSecret(需存在服务器端) 2. 第三方服务器验证AppKey和AppSecret在DB中有无记录 3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1697
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
开放api接口平台都会有appid、appkey、appsecret,这几个参数都有什么用,是怎么生成的?
伏xx的博客
03-31 3万+
作者:肖旭 链接:https://www.zhihu.com/question/27814664/answer/140795440 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 正文: app_id, app_key, app_secret , 对于平台来说, 需要给你的 你的开发者账号分配对应的权限: 1. app_id  是用来标记你的开发者账号
springboot实现接口签名
06-06
首先,接口签名的基本原理是通过一种约定好的方式,如哈希算法,将请求的特定信息(如URL、参数、时间戳等)和一个私有密钥结合,生成一个唯一的签名字符串。接收方接收到请求后,同样使用同样的算法和密钥对请求...
Spring Boot实现接口签名验证
04-23
包括配置签名密钥、定义签名算法、拦截器或过滤器实现、测试接口、模拟第三方调用 博客:https://blog.csdn.net/u011974797/article/details/138123261 开放接口是指不需要登录凭证就允许被第三方系统调用的接口。...
iOSApp签名原理
02-02
各种证书,ProvisioningProfile,entitlements,CertificateSigningRequest,p12,AppID,概念一堆,也很容易出错,本文尝试从原理出发,一步步推出为什么会有这么多概念,希望能有助于理解iOSApp签名原理和流程。...
接口签名算法设计、MD5签名算法
11-29
本文将深入探讨接口签名的设计、MD5签名算法以及它们在实际应用中的实现。 接口签名的主要目的是防止数据被篡改,确保信息在传输过程中的安全性,并验证请求或响应的来源。它通过在请求参数中添加一个特定的签名...
appkey 和 secret key & token
xiaofei0859的专栏
03-07 3万+
appkey 和 secret key相当于当前账户的另外一套账号和密码机制. 当然, 仅仅是在API调用的范围内适用. 1.生成方式可以自己定义, appkey保证不重复就行. secret key保证不容易被穷举, 生成算法也不能被轻易猜到. salt是一个不错的方式. 2.我们假定 appkey = 'AK' secret key = 'BK' 当前时间为 'T' 随机值 'R'我们需要
API接口签名验证
qq_25046827的博客
03-01 4557
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
接口签名-一次API接口的设计开发-
qq_34331912的博客
03-30 577
接口签名,是通过一些签名规则对参数进行签名,然后把签名的信息放入请求头部(或做为参数传递),服务端收到客户端请求之后,同样的按照已定的规则生产对应的签名串与客户端的签名信息进行对比,如果一致,就进入业务处理流程;如果不通过,就提示签名验证失败。
python flask 接口签名sign原理及代码实
w1054230914的博客
02-03 1000
python flask 接口签名sign原理及代码实现
接口签名算法
qq_36981190的博客
08-23 622
sha1和MD5算法加密
HTTP对外接口,如何增加签名机制
iteye_14984的博客
11-06 513
接口开发是各系统之间对接的重要方式,其数据是通过开放的互联网传输,对数据的安全性要有一定要求。为了提高传输过程参数的防篡改性,签名sign的方式是目前比较常用的方式。 我这里介绍一种方式,是目前国内互联网公司常用的一种方式,其中淘宝的支付宝支付接口、淘宝开放平台接口、腾讯开放平台等应用的一种方式。 一、签名参数sign生成的方法第1步: 将所有参数(注意是所有参数),除去sign本身,以及值是空的...
项目签名验证原理及实现
放荡不羁爱自由
08-16 2557
为什么要签名验证? 我们通过 httpPost 或者 Get 方式请求服务器的时候,会面临着许多的安全性问题,例如: 1、请求来源(身份)是否合法? 2、请求参数被篡改? 3、请求的唯一性(不可复制) 项目中用户登录后以后才能访问的信息,请求 api 接口的时候为了安全,需要做签名验证。 签名验证实现原理 1、用户登录成功后服务器会返回用户信息以及 salt salt 是用户注册...
springboot 接口签名
05-13
Spring Boot是基于Spring框架的一个快速构建应用的工具,其提供了多种方便的方式来构建RESTful的Web服务。对于接口签名,Spring Boot提供了一个非常简单和灵活的解决方案。下面将详细介绍Spring Boot 接口签名实现方法。 一、首先需要引入Spring-boot-starter-security依赖,配置application.properties参数。 二、写一个校验器类,记录需要签名接口和参数,并在调用接口的过程中进行签名校验。校验器类需要实现HandlerInterceptor接口,同时在WebMvcConfigurer中配置。 三、编写TokenManager类,用于生成和解析签名所需要的token,并在校验器中使用。 四、定义签名参数的规则,包含接口路径、请求方式、时间戳、token等参数,并通过规则生成签名。 五、编写接口,包含签名参数和业务参数,并在校验器中进行签名校验。 通过以上步骤,即可完成Spring Boot接口签名的实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值