实现开放API接口签名验证

最新推荐文章于 2024-04-23 11:00:00 发布
最新推荐文章于 2024-04-23 11:00:00 发布
阅读量1.3k 收藏 7
点赞数 1
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yun_2018/article/details/107161243
版权

1、新建Certificate类

package com.wise.medical.common.utils;

import org.apache.commons.codec.digest.DigestUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.nio.charset.Charset;
import java.nio.charset.StandardCharsets;
import java.text.MessageFormat;
import java.util.*;

/**
 * 实现开放API接口签名验证
 * 参考链接:https://www.jianshu.com/p/ad410836587a
 */
public class Certificate {
   

    public static Logger logger = LoggerFactory.getLogger(LoggerFactory.class);
    /**
     * Certificate构造对象,存储签名相关的参数
     */
    private CertificateBuilder property;
    /**
     * 假设允许客户端和服务端最多能存在15分钟的时间差,同时追踪记录在服务端的nonce集合。
     * 当有新的请求进入时,
     * 首先检查携带的timestamp是否在15分钟内,如超出时间范围,则拒绝,
     * 然后查询携带的nonce,如存在已有集合,则拒绝。否则,记录该nonce,并删除集合内时间戳大于15分钟的nonce
     * (可以使用redis的expire,新增nonce的同时设置它的超时失效时间为15分钟)。
     */
    private String timestamp;
    /**
     * 唯一的随机字符串,用来标识每个被签名的请求
     */
    private String nonce;
    /**
     * 签名
     */
    private String sign;

    public Certificate(CertificateBuilder builder) {
   
        this.property = builder;
    }

    /**
     * 获取最终请求参数列表
     * 注意:外部不要将timestamp、nonce、accessKey和sign这4个参数添加到方法参数params集合中
     */
    public String getUrlParamsWithSign(final LinkedHashMap<String, String> params) {
   
        this.sign = getSign(params);

        //6、最终请求Url参数
        params.put("timestamp", this.timestamp);
        params.put("nonce", this.nonce);
        params.put("sign", this.sign);
        params.put("token", property.token);

        List<String> urlParams = new ArrayList<>();
        for (Map.Entry<String, String> entry : params.entrySet()) {
   
            String strParam = MessageFormat.format("{0}={1}", entry.getKey(), entry.getValue());
            urlParams.add(strParam);
        }
        return String.join("&", urlParams);
    }

    /**
     * 获取签名
     * 注意:外部不要将timestamp、nonce、accessKey和sign这4个参数添加到方法参数params集合中
     */
    public String getSign(final LinkedHashMap<String, String> params) {
   
        if (this.sign == null || "".equals(this.sign))
        {
   
            this.sign = createSign(params);
        }
        return this.sign;
    }

    /**
     * 创建签名
     * 注意:外部不要将timestamp、nonce、accessKey和sign这4个参数添加到方法参数params集合中
     */
    private String createSign(final LinkedHashMap<String, String> params) {
   
        //1、除去空值请求参数
        LinkedHashMap<
最低0.47元/天 解锁文章
Yun_Coding
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
http接口认证实现
05-10
http对外接口安全认证,利用spring aop方式,对特定的controller的方法进行拦截,类似微信SDK的安全认证功能,实现http请求认证。认证后产生令牌,30分钟有效期内可使用令牌无需认证。详细内容请关注微信公众号“懵懂少年songyou”
WEB API 接口签名sign验证入门与实战
最新发布
wangluoanquan111的博客
04-23 894
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
API接口认证
weixin_34297300的博客
10-30 312
之前写过一篇文章《简单API实现》,这篇文章说明了通过api方式把数据传递给服务端处理,但这过程中没有认证功能,无论谁发任何内容,都一并接收,这样明显存在不安全性,这篇文章在原来的基础上,添加了接口认证功能,实现如下:接口认证方式:方式一:客户端:通过定义密钥将密钥加密发送给服务端服务端:服务端定义相同的密钥通过相同的加密算法,得到一个值把服务端加密后的值和客户端发送过来的...
云崽机器人配置
m0_62518864的博客
11-12 3231
配置安装运行
Request 中nonceStr (随机数)的产生
qq_32649889的博客
11-08 9189
UUIDUtils.javapackage com.sfpay.scfp.oms.app.util;import org.apache.commons.lang3.StringUtils;import java.util.UUID;/** * Created by 01059519 on 2016/11/14. */ public abstract class UUIDUtils { pu
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
开放API接口签名验证,让你的接口从此不再裸奔.docx
11-14
开放 API 接口签名验证,让你的接口从此不再裸奔 开放 API 接口签名验证是指在开放平台上,对 API 接口进行身份验证和参数签名验证,以确保接口安全和防止篡改参数。该方法使用 AccessKey 和 SecretKey 两者结合,...
拒绝接口裸奔!开放 HTTP API 接口签名验证!.zip
12-13
计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,...
Sangfor SCP平台开放API接口
08-26
【Sangfor SCP平台开放API接口】是Sangfor公司提供的一个系统集成和二次开发平台。这个平台允许开发者通过REST(Representational State Transfer)风格的API接口,利用HTTPS请求进行调用,以实现与SCP平台的深度...
easyopen 接口开放平台.rar
07-14
复杂的接口开放平台,为其他业务系统提供开放API的能力。 简单的接口开放平台 复杂的接口开放平台 接下来从三个部分阐述我对接口开放平台的理解。 2. 鉴权 接口调用方标识,由平台分配 令牌,由平台分配,用于...
开发API签名接口样例
12-31
工行在线支付接口开发样例,提供多种语言开发样例,及安装组件和方法
nonce和timestamp在Http安全协议中的作用
weixin_30585437的博客
09-03 280
前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定义的Basic认证。 Basic认证及其安全问题 Basic认证...
字节跳动 火山引擎 NLP 自然语言处理 C# .NET详解
dark_2001的专栏
07-28 1949
最近需求用到字节跳动 火山引擎的NLP相关服务,简要记录一下 字节的服务介绍页面 https://www.volcengine.com/product/text-correction 文本纠错API,基于这个文本纠错API可以应用为,文本校对,辅助编辑,作业批改等 同时字节的文本纠错API隶属于文本分析服务这个NLP大类,字节的文本分析服务包含了下面一共五个子类: 文本摘要 自动提取新闻文本中的关键信息并生成指定长度的摘要。目前提供抽取式和生成式两种方式。抽取式摘要支持灵活字数定义来从原文中提取关键信息组
API接口如何防止参数被篡改和重放攻击?
草原孤狼的专栏
11-09 2193
好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受. 目前所有的系统架构都是采用前后端分离的系统架构,那么就不可能避免的需要服务对外提供API,那么如何保证对外的API的安全呢? 即生鲜电商中API接口防止参数篡改和重放攻击 目录 1. 什么是API参数篡改? 说明:API参数篡改就是恶意人通过抓包的方式获取到请求的接口的参数,通过修改相关的参数,达到欺骗服务器的目的,常用的防止篡改的方式是用签名以及加密的方式。 2. 什么是API重发攻击? 说明:API重放.
如何正确处理nonce
关于代码的那些事
09-14 8775
问题概述 以太坊系列(ETH&amp;ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
基于Token实现开放API接口签名验证
Charge8的博客
12-13 9593
基于Token实现开放API接口签名验证
火山引擎ImageX图片服务纯代码使用方法额度领取
七脉神剑科技博客
05-31 1087
字节跳动旗下火山引擎也推出了图片处理服务功能即ImageX图片服务,ImageX图片服务类似于七牛图片处理,即可以作为图床分发图片,缓解源站压力,而且也可以实时对图片进行处理,只需要在图片结尾添加图片处理样式即可,比七牛更加吸引人的是ImageX图片服务免费额度支持https!
常用API接口签名验证参考
dotNET跨平台
05-12 1968
项目中常用的API接口签名验证方法: 1. 给app分配对应的key、secret2. Sign签名,调用API 时需要对请求参数进行签名验证签名方式如下:  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mr
java第三方开放api接口签名
07-12
Java中,可以使用以下步骤对第三方开放API接口进行签名: 1. 获取API请求参数。 根据API接口文档,获取需要包含在请求中的参数。这些参数通常包括身份验证参数(如appKey、appSecret等)和业务参数(如请求方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值