接口参数签名验证

最新推荐文章于 2024-10-08 08:32:23 发布
最新推荐文章于 2024-10-08 08:32:23 发布
阅读量1k 收藏 3
点赞数
分类专栏: Java进阶 文章标签: 接口 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/U2133048/article/details/115292889
版权

与第三方对接时,会存在请求参数是否被篡改的问题,这时,我们就得进行接口签名验证,防止请求参数被篡改进而影响请求结果。

参数签名算法:

1、请求参数名的字母按照升序进行非空排列,使用URL键值对的格式(key1=value1&key=value2...),拼接成字符串stringA;

如:请求参数{alterFld=null,reqTm=29, characterSet=00, onStationId=262019},排列之后stringA={characterSet=00&onStationId=262019&reqTm=29}

2、遍历stringA,将所有值拼接成stringB。

   如:stringB=0026201929

3、stringB最后拼接上Secretkey得到stringC,将stringC进行md5运算,并将得到的字符串所以的字母转换成大写,得到sign值。

如:sign=DigestUtils.md5Hex(StringUtils.getBytesUnchecked(stringB.toString() + md5Key, "GBK")).toUpperCase()) .toString()

4、最后stringA拼接上sign键值对,就是发送的请求参数了。

如:requrstString={characterSet=00&onStationId=262019&reqTm=29&sign=A88G9CFF}

对方接到请求参数之后,除去sign的键值对,也做同样的算法加密。最后将得到的sign值和请求的sign值进行对比,如果两值相等表示请求参数没有被篡改,如果值不同就表示请求参数被篡改过了。

实例:

 

 

U2133048
关注
专栏目录
绕过接口参数签名验证
07-11 2816
在一些关业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深入。微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序参数签名绕过的案例,来理解签名逆向的过程。01、常见签名算法...
接口安全设计之接口验签
xlj_bear的博客
04-02 836
最近接到一个需求,在海外客户还款之前,都是通过一个还款链接去还款,但是还款链接内没有任何的客户信息,所以需要还款之前,进入一个前置信息确认页面,就需要后端先提供一个查询接口给前端,但是需要参数明文传递给前端,其中包含订单号,金额及还款类型。在原本的请求链接不变的情况下,加一个sign参数,针对当前参数进行签名,在请求后端的时候,需要先验证签名,如果验签不通过,则直接返回error,否则认定参数没有被修改,继续生成还款链接。当请求到达后端之后,去查询当次请求参数,然后去生成真实的还款链接给客户还款。
SpringBoot3实战:实现接口签名验证
最新发布
江南一点雨的专栏
10-08 1390
有时候我们要把自己的服务暴露给第三方去调用,为了防止接口不被授权访问,我们一般采用接口签名的方式去保护接口。接下来松哥和大家聊一聊这个话题。
接口安全--签名验证
波板糖的博客
02-04 415
接口安全--签名验证 为防止第三方冒充客户端请求服务器,可以采用参数签名验证的方法: 将请求参数中的各个值对按照key的字符串顺序升序排列(大小写敏感),把key和value拼成一串之后最后加上密钥,组成key1value1key2value2PRIVATEKEY的格式,转成utf-8编码的字节序列后计算md5,作为请求签名。计算出来的签名串应当全为小写形式。如果某个参数的值为空,...
请求参数进行验签
activety的博客
06-05 1531
需求描述:前端发起请求参数携带sign=xxxx,后台验证签名是够正确 sign签名生成规则: 1.将post请求的body转成jsonstring (按照body里key的自然升序排列),得到stringA,即: “reqBody=jsonstring"2.对字符串stringA="reqBody={jsonstring}" 2.对字符串stringA="reqBody=jsonstring"2.对字符串stringA="reqBody={jsonstring}”, stringB=“cpToken=
使用aop结合redis进行方法参数签名验证
bighacker的博客
11-21 1735
redis 验签 aop
PHP开发API接口签名生成及验证操作示例
01-21
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 我们在设计签名验证的时候,请注意要满足以下几点: 可变性:...
Spring Boot实现接口签名验证
04-23
包括配置签名密钥、定义签名算法、拦截器或过滤器实现、测试接口、模拟第三方调用 ...签名校验通常涉及对请求参数签名计算和验证,以确保请求是由可信的发送方发送,并且在传输过程中没有被篡改。
Python-Api签名验证样例
08-10
在API(应用程序编程接口)开发中,为了确保数据的安全传输,通常会采用签名验证机制。本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
简单接口验签
龚清林的博客
04-02 832
后端代码 以下代码放在接口公共文件中 $apiAuth = new ApiAuth(); $signResult = $apiAuth->verifySign(); if (!$signResult['code']) { $this->error($signResult['msg']); } ApiAuth类文件 <?php class ApiAuth { public function __construct(){ $this->params
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
java参数签名实现
beiduofen2011的专栏
06-02 1216
sss
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1115
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户密码安全传输的问题. 用户和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
关于参数签名的总结
持之以恒
04-18 8426
刚刚工作2~3年,我们搞java或是php(这里省略很多语言)开发年轻人,前几年开发的时候总会碰到一些和第三方对接的任务,例如第三方交易的支付宝、微信(心累,文档里面有很多排序和参数大小写错误的问题),再或是聊天软件的融云、环信,再或是地图的高德等。 他们虽然说大部分功能都提供SDK,简化接入者的工作量,让接入者只关系调用(自己只需要组织业务),不需要太过关心安全方面的问题,但是有些功能(接口)还
参数签名实例(md5实现 数据完整性)
docuxu的博客
12-15 3754
在前端用js定义md5函数对值做哈希,如此用户提交表单后,在网络中路由间传递的便是简单加密后的信息,而非明文信息,等表单提交到后台后,可用md5再次对其进行加密,再行存储。亦或者防止有人截取报文修改客户端提交过来的参数进行越权查看,我们可以对参数进行md5加密进行处理,与请求参数一起传递到服务器,服务器对接收到的参数进行md5加密 然后比较加密后的值 与传递过来的值如果不同肯定被修改。
js参数签名和后台验证
zhaobao110的专栏
10-15 6002
为了保证参数传输的安全性,使用签名方法处理 第一步:下载md5.min.js 第二步:签名函数 /* *设置参数签名,按照参数key升序然后进行MD5加密,返回参数 */ setParamSign = function (params) {     var paramStr = "";     if (typeof params == "string") {         paramStr...
Spring Boot接口签名验证的实现与测试
资源摘要信息:"Spring Boot实现接口签名验证" Spring Boot实现接口签名验证涉及多个知识点和步骤。首先,签名验证是一种确保接口请求安全和数据完整性的重要手段。由于开放接口不需登录凭证就可被调用,因此有必要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值