接口安全之签名

最新推荐文章于 2024-08-08 10:36:58 发布
最新推荐文章于 2024-08-08 10:36:58 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: java 文章标签: 接口 安全 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa233510/article/details/51555356
版权

1.   接口请求采用https的post方式,返回信息全部采用json格式报文。

2.   请求和返回报文双方约定采用UTF-8编码,并对请求参数做URLEncoder。

3.   签名规则(签名在URLEncoder之前做。)

4.   商户密钥  207b6c6843a20c4acf7e8583b9d463c6

签名规则:

第1步: 

将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。
第2步: 

然后把排序后的参数按参数1值1参数2值2…参数n值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将"转成”后再拼接)的方式拼接成一个字符串。
第3步: 

把分配给接入方的验证密钥key拼接在第2步得到的字符串前面。
第4步:

 在上一步得到的字符串后面加上商户密钥 (接口提供方分配给接口接入方的),然后计算md5值,得到32位字符串
第5步: 

将第4步得到的 字符串转成大写,得到的字符串作为sign的值。

举例:
假设传输的数据是http://localhost:3333/viptrip365/interface/common/login.hlt?sign=sign_value&imei=4324&os=423&os_version=423&app_version=432&ver=423&uid=13&time_stamp=&userName=15501108967&pwd=123456(实际情况最好是通过post方式发送),
其中sign参数对应的sign_value就是签名的值。


第一步,拼接字符串,首先去除sign参数本身,然后去除值是空的参数time_stamp,剩下imei=4324&os=423&os_version=423&app_version=432&ver=423&uid=13&userName=15501108967&pwd=12345,

然后按参数名字符升序排序得到
app_version=432imei=4324os=423os_version=423pwd=123456uid=13userName=15501108967ver=423

第二步,然后做参数名和值的拼接,最后得到app_version432imei4324os423os_version423pwd123456uid13userName15501108967ver423

第三步,在上面拼接得到的字符串后加上商户密钥,md5(签名+密钥)得到新的字符串af538d756f3df274081eeedee1dca593


第四步,然后将这个字符然后转为大写,得到AF538D756F3DF274081EEEDEE1DCA593这个值即为sign签名值。

二、签名验证方法:
根据前面描述的签名参数sign生成的方法规则,计算得到参数的签名值,和参数中通知过来的sign对应的参数值进行对比,如果是一致的,那么就校验通过,如果不一致,说明参数被修改过。


URLEncoder:

转码前

sign=AF538D756F3DF274081EEEDEE1DCA593&imei=2143124&os=%25E8%258B%25B9%25E6%259E%259C&

os_version=3.5+%25E6%25B5%258B%25E8%25AF%2595%25E7%2589%2588&app_version=1223&ver=3213

&uid=1232&time_stamp=2015-02-03&userName=15501108967&pwd=123456

转码后

sign%3D54D0B42DD9899B15A8EBE77CB6BBEB73%26imei%3D%25E8%258B%25B9%25E6%259E%

259C%26os%3D123%2B%26os_version%3D%25E6%25B5%258B%25E8%25AF%25951%26app_version%3D

1232%26ver%3D123.%26uid%3D111%26time_stamp%3D2016-05-27%26userName%3D15501108967%

26pwd%3D123456

_tiger_
关注
专栏目录
springboot实现接口签名
06-06
在IT行业中,接口签名是一种确保数据安全传输的重要机制,特别是在微服务架构中,如Spring Boot用与其他系统进行数据交互接口签名的主要目的是验证请求的来源合法性,防止数据被篡改,以及确保通信双方的数据...
常用API接口签名验证参考
weixin_33910385的博客
05-10 989
项目中常用的API接口签名验证方法: 1. 给app分配对的key、secret2. Sign签名调用API 需要对请求参数进行签名验证,签名方式如下:  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2...
post 防篡改_安全|API接口安全性设计(防篡改和重复调用
weixin_42604188的博客
01-17 918
API接口安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、间戳和Sign三个机制展开设计。1. Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效间。服务端接收到请求后进行Token验证,如果T...
接口签名 - 一个实践过的方案(一)
最新发布
songtaiwu的博客
08-08 741
参与到签名的header的key的集合,使用英文逗号分割放到 key为 tw-signature-headers 的 Header中,客户端与服务端根据这个值进行选取并拼接签名串。将待签名字符串(StringToSign)使用 UTF-8 编码后得到Byte数组,然后使用加密算法对 Byte数组进行签名签名使用 APP Secret的值作为key,最后使用十六进制进行转码,形成最终签名。客户端需要将以下内容放入到http请求的header中,请求给到服务端网关,API网关会做签名比对。
对接第三方API,无SDK,通用签名范例
海域青霭
12-14 320
1、包装PostHttp请求 public string PPost(string url, string param, Method method, HtmlEncoding sendEncoding, HtmlEncoding receivEncoding, string referer, ref CookieContainer cookie, string contentType = ...
API 接口签名验签
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化,原...
API接口签名验证
qq_25046827的博客
03-01 4802
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API接口安全策略文档
06-29
《API接口安全策略详解》 API接口作为现代用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相安全策略。 首先,针对...
Spring Boot实现接口签名验证
04-23
在Spring Boot中实现接口校验签名通常是为了保证接口请求的安全性和数据的完整性。签名校验通常涉及对请求参数的签名计算和验证,以确保请求是由可信的发送方发送,并且在传输过程中没有被篡改。
Api接口TOKEN+签名安全.zip
11-26
下面我们将详细讨论这两个概念以及它们在API接口安全中的用。 1. **Token鉴权**: - **JWT(JSON Web Tokens)**:JWT是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息...
接口签名算法设计、MD5签名算法
11-29
接口签名的主要目的是防止数据被篡改,确保信息在传输过程中的安全性,并验证请求或响的来源。它通过在请求参数中添加一个特定的签名字段,这个字段由特定算法处理后生成,接收方可以使用相同的算法和密钥对签名...
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 5083
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
axios的封装+添加请求头签名+md5加密
sunxiaobai1的博客
08-08 1429
axios的封装+添加请求头签名+md5加密
API 接口参数签名的几种方案
热门推荐
Asurplus
09-26 2万+
在涉及跨系统接口调用,我们容易碰到以下安全问题:请求身份被伪造、请求参数被篡改、请求被抓包,然后重放攻击
API签名认证的说明及实现
trinityleo5的博客
08-30 1391
API签名认证的说明及实现
API 接口该如何设计?如何保证安全?如何签名?如何防重?
A_991128a的博客
02-20 2388
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
三方开放接口,Springboot通过AOP实现API接口签名验证
qq_32430463的博客
06-21 2900
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
ASP.NET接口安全签名算法与实现
在ASP.NET MVC或WebAPI的开发中,接口安全至关重要,避免恶意用户伪造请求对系统造成破坏。本文档提供了一套完整的签名机制来保护接口签名的主要目的是确保请求的真实性,并防止中间人攻击。 **签名算法** 签名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值