接口参数签名验证

最新推荐文章于 2024-02-25 11:30:00 发布
最新推荐文章于 2024-02-25 11:30:00 发布
阅读量990 收藏 3
点赞数
分类专栏: Java进阶 文章标签: 接口 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/U2133048/article/details/115292889
版权

与第三方对接时,会存在请求参数是否被篡改的问题,这时,我们就得进行接口签名验证,防止请求参数被篡改进而影响请求结果。

参数签名算法:

1、请求参数名的字母按照升序进行非空排列,使用URL键值对的格式(key1=value1&key=value2...),拼接成字符串stringA;

如:请求参数{alterFld=null,reqTm=29, characterSet=00, onStationId=262019},排列之后stringA={characterSet=00&onStationId=262019&reqTm=29}

2、遍历stringA,将所有值拼接成stringB。

   如:stringB=0026201929

3、stringB最后拼接上Secretkey得到stringC,将stringC进行md5运算,并将得到的字符串所以的字母转换成大写,得到sign值。

如:sign=DigestUtils.md5Hex(StringUtils.getBytesUnchecked(stringB.toString() + md5Key, "GBK")).toUpperCase()) .toString()

4、最后stringA拼接上sign键值对,就是发送的请求参数了。

如:requrstString={characterSet=00&onStationId=262019&reqTm=29&sign=A88G9CFF}

对方接到请求参数之后,除去sign的键值对,也做同样的算法加密。最后将得到的sign值和请求的sign值进行对比,如果两值相等表示请求参数没有被篡改,如果值不同就表示请求参数被篡改过了。

实例:

 

 

U2133048
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过接口参数签名验证
07-11 2662
在一些关业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深入。微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序参数签名绕过的案例,来理解签名逆向的过程。01、常见签名算法...
API 接口参数签名的几种方案
热门推荐
Asurplus
09-26 2万+
在涉及跨系统接口调用时,我们容易碰到以下安全问题:请求身份被伪造、请求参数被篡改、请求被抓包,然后重放攻击
request 中url拼接排序参数签名算法
weixin_38170468的博客
07-19 652
一、参数要求: { appId:应用在后台创建应用时分配的应用编号,与应用密钥一一对应 sign:按照当前请求参数字母序进行升序排列(排序时区分大小写,除sign外,其它值不为空的参数都参与签名), 将所有参数值组合以key=value 的形式拼成一个新字符串,不同参数值“&”之间没有任何分隔符,最后加上对应的签名密钥appKey 进行签名运算。 如进行MD5签名运算的串为 MD...
WEB API 接口签名sign验证入门与实战
wangluoanquan111的博客
02-25 1213
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名使用用户,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户:appKey密码:appSecret。
利用Java程序将字符串进行排序与拼接
weixin_34297300的博客
05-24 193
2019独角兽企业重金招聘Python工程师标准>>> ...
java对同时包含字符串和数字进行升序排序怎么写
weixin_35757531的博客
02-16 276
你可以使用Java中的Comparator来实现同时包含字符串和数字的升序排序。以下是一个简单的例子: 假设你有一个包含字符串和数字的列表,例如: List<String> list = Arrays.asList("apple1", "apple10", "apple2", "banana1", "banana10", "banana2"); ...
Java实现字符串排序的几种方式
AppTop_Jo的博客
05-09 1万+
一、使用List集合中自带的sort方法(字符串的位数保持一致,不一致的情况可以在左边补0,也可以使用String.format()方法补全)二、使用Stream流(字符串的位数保持一致,不一致的情况可以在左边补0,也可以使用String.format()方法补全)三、使用基数排序(此处仅展示对字符串进行排序,不需要补全位数)创建实体类(此处引入了lombok)2、在字符串排序中使用。2、在字符串排序中使用。1、在对象排序中使用。1、在对象排序中使用
开发API接口安全验证:token,参数签名,时间戳
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
软件测试技能,JMeter压力测试教程,签名sign(BeanShell 预处理程序)(二十)
NHB456789的博客
07-03 863
一般公司对外的接口都会用到sign签名,对不同的客户提供不同的apikey ,这样可以提高接口请求安全性,避免被人抓包后乱请求之前讲过用python代码实现sign签名,这次介绍jmeter上如何实现sign签名,思路都是差不多的。
Spring Boot实现接口签名验证
最新发布
04-23
包括配置签名密钥、定义签名算法、拦截器或过滤器实现、测试接口、模拟第三方调用 ...签名校验通常涉及对请求参数签名计算和验证,以确保请求是由可信的发送方发送,并且在传输过程中没有被篡改。
PHP开发API接口签名生成及验证操作示例
01-21
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:...
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求参数不被...
Python-Api签名验证样例
08-10
Api签名验证样例
PHP开发api接口安全验证操作实例详解
01-20
从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 ● 时间戳:当前时间 ● 随机数:随机生成的随机数 ● 口令:前后台开发时,一个双方都知道的标识,相当于暗号 ● 算法规则
关于参数签名的总结
持之以恒
04-18 8259
刚刚工作2~3年,我们搞java或是php(这里省略很多语言)开发年轻人,前几年开发的时候总会碰到一些和第三方对接的任务,例如第三方交易的支付宝、微信(心累,文档里面有很多排序和参数大小写错误的问题),再或是聊天软件的融云、环信,再或是地图的高德等。 他们虽然说大部分功能都提供SDK,简化接入者的工作量,让接入者只关系调用(自己只需要组织业务),不需要太过关心安全方面的问题,但是有些功能(接口)还
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1049
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户密码安全传输的问题. 用户和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
java参数签名实现
beiduofen2011的专栏
06-02 1145
sss
参数签名实例(md5实现 数据完整性)
docuxu的博客
12-15 3715
在前端用js定义md5函数对值做哈希,如此用户提交表单后,在网络中路由间传递的便是简单加密后的信息,而非明文信息,等表单提交到后台后,可用md5再次对其进行加密,再行存储。亦或者防止有人截取报文修改客户端提交过来的参数进行越权查看,我们可以对参数进行md5加密进行处理,与请求参数一起传递到服务器,服务器对接收到的参数进行md5加密 然后比较加密后的值 与传递过来的值如果不同肯定被修改。
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数进行字典排序,并将参数参数值用等号连接起来,每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值