java接口签名(Signature)实现方案

最新推荐文章于 2024-08-08 16:42:38 发布
最新推荐文章于 2024-08-08 16:42:38 发布
阅读量2.7k 收藏 9
点赞数
文章标签: java runtime 人工智能
原文链接:http://www.cnblogs.com/hujunzheng/p/9725168.html
版权
本文介绍了一种Java接口签名的实现方案,确保接口数据安全,防止篡改。涉及签名流程、规则、生成与校验算法,以及依赖的第三方工具。通过添加appid、timestamp、nonce和signature到请求头,并使用HMAC-SHA256加密,实现接口安全验证。
摘要由CSDN通过智能技术生成

预祝大家国庆节快乐,赶快迎接美丽而快乐的假期吧!!!

前言

  在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案 java接口签名(Signature)实现方案续 

签名流程

 

签名规则

  1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret

  2、加入timestamp(时间戳),10分钟内数据有效

  3、加入流水号nonce(防止重复提交),至少为10位。针对查询接口,流水号只用于日志落地,便于后期日志核查。 针对办理类接口需校验流水号在有效期内的唯一性,以避免重复请求。

  4、加入signature,所有数据的签名信息。

  以上红色字段放在请求头中。

签名的生成

  signature 字段生成规则如下。

   数据部分

  Path:按照path中的顺序将所有value进行拼接

  Query:按照key字典序排序,将所有key=value进行拼接

  Form:按照key字典序排序,将所有key=value进行拼接

  Body

    Json: 按照key字典序排序,将所有key=value进行拼接(例如{"a":"a","c":"c","b":{"e":"e"}} => a=ab=e=ec=c)

    String: 整个字符串作为一个拼接

       

  如果存在多种数据形式,则按照path、query、form、body的顺序进行再拼接,得到所有数据的拼接值。

  上述拼接的值记作 Y。

  请求头部分

  X=”appid=xxxnonce=xxxtimestamp=xxx”

  生成签名

  最终拼接值=XY

  最后将最终拼接值按照如下方法进行加密得到签名。

  signature=org.apache.commons.codec.digest.HmacUtils.hmacSha256Hex(app secret, 拼接的值);

 签名算法实现

  指定哪些接口或者哪些实体需要进行签名

import java.lang.annotation.Documented;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;

import static java.lang.annotation.ElementType.METHOD;
import static java.lang.annotation.ElementType.TYPE;
import static java.lang.annotation.RetentionPolicy.RUNTIME;

@Target({TYPE, METHOD})
@Retention(RUNTIME)
@Documented
public @interface Signature {
    String ORDER_SORT = "ORDER_SORT";//按照order值排序
    String ALPHA_SORT = "ALPHA_SORT";//字典序排序
    boolean resubmit() default true;//允许重复请求
    String sort() default Signature.ALPHA_SORT;
}

  指定哪些字段需要进行签名

import java.lang.annotation.Documented;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;

import static java.lang.annotation.ElementType.FIELD;
import static java.lang.annotation.RetentionPolicy.RUNTIME;

@Target({FIELD})
@Retention(RUNTIME)
@Documented
public @interface SignatureField {
    //签名顺序
    int order() default 0;

    //字段name自定义值
    String customName() default "";

    //字段value自定义值
    String customValue() default "";
}

  核心算法

/**
 * 生成所有注有 SignatureField属性 key=value的 拼接
 */
public static String toSplice(Object object) {
    if (Objects.isNull(object)) {
        return StringUtils.EMPTY;
    }
    if (isAnnotated(object.getClass(), Signature.class)) {
        Signature sg = findAnnotation(object.getClass(), Signature.class);
        switch (sg.sort()) {
            case Signature.ALPHA_SORT:
最低0.47元/天 解锁文章
aipiannian6725
关注
java接口签名(Signature)实现方案
胡峻峥的博客
12-26 1万+
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案 )收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对不同的调用...
接口签名 - 一个实践过的方案(一)
songtaiwu的博客
08-08 751
参与到签名的header的key的集合,使用英文逗号分割放到 key为 tw-signature-headers 的 Header中,客户端与服务端根据这个值进行选取并拼接签名串。将待签名字符串(StringToSign)使用 UTF-8 编码后得到Byte数组,然后使用加密算法对 Byte数组进行签名签名使用 APP Secret的值作为key,最后使用十六进制进行转码,形成最终签名。客户端需要将以下内容放入到http请求的header中,请求给到服务端网关,API网关会做签名比对。
Java对外接口签名(Signature)实现方案
热门推荐
学习学习学习
07-04 1万+
对外接口加密验签功能
Java接口签名(Signature)实现方案
weixin_44765236的博客
10-25 282
Java接口签名(Signature)实现方案
编程语言Java接口签名(Signature)实现方案
01-20 5372
编程语言Java接口签名(Signature)实现方案 Java接口签名(Signature)实现方案 大家好,我是程序员田同学! 今天上午收到一个需求,针对当前的系统开发一个对外开放的接口。 既然是对外开放,那么调用者一定没有我们系统的Token,就需要对调用者进行签名验证,签名验证采用主流的验证方式,采用Signature 的方式。 一、要求 下图为具体要求 二、流程 ​ 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、
JAVA接口签名(Signature)实现方案
明平姚的博客
05-27 8204
  在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案java接口签名(Signature)实现方案续。 2|0签名流程 3|0签名规则   1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、加入timesta.....
java数据签名几种_java接口签名(Signature)实现方案
weixin_39789792的博客
02-13 1536
v一、前言由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。v二、签名规则1、线下分配appid和appsecret,针对不同的调用方分配不同的ap...
springboot接口签名(Signature)实现方案
明平姚的博客
05-27 8083
  由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 2|0二、签名规则   1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、加入timestamp(时间戳),10分钟内数据有效  ..
接口签名算法设计、MD5签名算法
11-29
接口签名得工具类,可直接使用, 主要设计参考微信接口方案
基于JAVA的数字签名设计与实现
07-24
基于JAVA的数字签名设计与实现论文仅供参考。
java实现多种方式实现电子签名,项目可直接在eclipse下运行
06-07
三种方式实现电子签章,项目可直接在eclipse下运行,希望对大家有所帮助。。
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 3074
springboot服务第三方接口安全签名(Signature)实现方案
Java Signature
weixin_34055910的博客
03-19 121
Java方法的Signature是由方法的参数和返回值的类型共同构成的,下面是他们的结构︰ "(argument-types)return-type" 其中Java程序中参数类型和其对应的值如下︰ Signature                      Java中的类型 Z                                     boolean B              ...
最易于使用的java接口签名实现
weixin_38387358的博客
08-03 3831
最易于使用的java对外接口签名实现
接口签名 - 一个实践过的方案(三)
最新发布
songtaiwu的博客
08-08 637
接口签名方案,请看签名的文章这里给一个在golang的框架中,用middleware实现的代码实例。创建文件 signature_middleware.go。
java常用签名规则
08-22
Java常用的签名规则包括对关键字段的加密和使用哈希算法进行处理。在对关键字段加密时,常用的加密算法包括对称加密算法(如AES)和哈希算法(如MD5)。对称加密算法通过使用相同的密钥对数据进行加密和解密,而哈希算法则将数据转换成固定长度的哈希值。 此外,Java还支持非对称加密算法,非对称加密算法使用一对密钥,即公钥和私钥,其中公钥用于加密数据,私钥用于解密数据。常见的非对称加密算法包括RSA和DSA。 总结起来,Java常用的签名规则包括对关键字段的加密(使用对称加密算法或哈希算法)和非对称加密算法。常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES,而非对称加密算法主要包括RSA和DSA。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Java对外接口签名(Signature)实现方案](https://blog.csdn.net/weixin_46522803/article/details/125606163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Java自学视频教程-JavaSE基础-常用API-04、String类常用API.mp4](https://download.csdn.net/download/weixin_54787054/88233249)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Java中常用的加密与解密](https://blog.csdn.net/weixin_43860260/article/details/122101197)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值