每个系统都在用的appid、appkey、appsecret都是什么意思?

最新推荐文章于 2024-03-14 23:06:03 发布
最新推荐文章于 2024-03-14 23:06:03 发布
阅读量1w 收藏 19
点赞数 5
分类专栏: 互联网安全 文章标签: appId appKey appSecretKey
原文链接:https://developer.aliyun.com/article/847497
版权

前言

在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。

在认证的过程中,往往会提供appid、appkey、appsecret三对key-value的数据。本篇文章就带大家深入了解一下这三组认证所需数据的功能及生成。

先简单概况一下:app_id,应用的唯一标识;app_key,公匙(相当于账号);app_secret,私匙(相当于密码)。

app_id参数

app_id通常情况下指的是一个用户的账号,类似在三方支付系统中给商户开的customer_no,表示一个企业或个人的账号。

该账号通常跟开通的商户实体所一一对应。通过该参数平台能找到你是谁。在接口调用的过程中很少直接使用app_id,一般会配合秘钥使用。

app_key和app_secret

现在有了统一的app_id,此时如果针对同一个业务要划分不同的权限,比如同一功能,某些场景需要只读权限,某些场景需要读写权限。这样提供一个app_id和对应的秘钥就没办法满足需求。

此时就需要引入针对权限进行账号分配,通常使用app_key和app_secret。

以OSS存储为例,在后台管理界面对存储的文件拥有删除的权限,而对于用户端可能只需要读或写的权限就行。那么此时,就可以生成两对儿app_key和app_secret。一个用于删除,一个用于读写,达到权限的细粒度划分。

app_key和app_secret成对出现

通常情况下,app_key和app_secret用在通信的首次认证当中,认证完成平台会返回一个token(通常拥有失效时间),后续的交互通过该token即可。

那么为什么app_key和app_secret会成对出现呢?我们可以这样理解,app_key用来标记调用接口的方享受哪些权限,而app_secret用来表示你真的拥有这个权限。其实这里app_key与app_id功能相似。当系统只有一个用户并且只有一套权限时,它们两者是等价的。

不同使用方式

第一种场景:通常用于开放性接口,像地图api,会省去app_id和app_key,此时相当于三者相等,合而为一。这种模式下,带上app_id的目的仅仅是统计某一个用户调用接口的次数而已了。

第二种场景:只会提供app_key和app_secret,在客户端根据一定的算法生成认证的token,调用接口时带上该token就可以了。像七牛云的接口调用就使用的这种模式。

第三种场景:调用接口时同时携带app_key和app_secret传递到服务器,服务器返回对应的token,后续业务接口的调用通过token进行校验。

第四种场景:上面的验证方式相对宽松,如果token被窃取,就可以伪造报文进行请求。还有一种比较严格的就方式就是每次请求的参数都进行签名(MD5或SHA1等)处理,而app_secret不会通过网络传输,只会存储于商户端和服务器端。

校验的方式通常是讲核心字段按照key的升序进行排列,组成key=value&key=value的形式,最后再加上app_secret的字符串,然后使用签名算法,计算出一个sign值。请求时,将除app_secret以外的原业务报文和sign值传递给服务,服务器接收到之后,按照同样的方式进行延签。签名一致则说明报文在传输过程中未被篡改。像腾讯云就使用此种模式。

波波仔86
关注
  • 5
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
简单封装友盟第三方平台分享功能
04-06
作者LiuYulei001,代码LYLShareManager。 简单封装友盟第三方平台分享功能; 首先下载友盟分享功能的SDK,并注册相关AppKey及第三方平台的AppKey; 然后按照友盟官网配置下工程,之后再使用此类; // 首先:配置第三方平台URL Scheme ->1->2->3->4 /** 1.打开日志 @param isOpen YES代表打开,No代表关闭 */ +(void)openLog:(BOOL)isOpen; /** 2.设置友盟AppKey @param UmSocialAppkey 友盟AppKey */ +(void)setUmSocialAppkey:(NSString *)UmSocialAppkey; /** 3.设置平台的appkey @param platform 平台类型 @see UMSocialPlatformType @param appKey 第三方平台的appKey(QQ平台为appID) @param appSecret 第三方平台的appSecret(QQ平台为appKey) @param redirectURL redirectURL */ +(BOOL)setPlatform:(UMSocialPlatformType)platform appKey:(NSString *)appKey appSecret:(NSString *)appSecret redirectURL:(NSString *)redirectURL; /** 4.获得从sso或者web端回调到本app的回调 << - (BOOL)application:(UIApplication *)application openURL:(NSURL *)url sourceApplication:(nullable NSString *)sourceApplication annotation:(id)annotation >> @param URL 第三方sdk的打开本app的回调的url @return 是否处理 YES代表处理成功,NO代表不处理 */ +(BOOL)handleOpenURL:(NSURL *)URL; // 分享功能(适用自定义分享UI页面) /** 图文分享 @param platformType 平台类型 @see UMSocialPlatformType @param ContentText 文本(纯图可以为nil) @param thumbnail 缩略图 @param shareImage 分享图片 */ +(void)shareGraphicToPlatformType:(UMSocialPlatformType)platformType ContentText:(NSString *)ContentText thumbnail:(id)thumbnail shareImage:(id)shareImage success:(success)success failure:(failure)failure; /** 多媒体分享 @param platformType 平台类型 @see UMSocialPlatformType @param ShareContentType 分享多媒体类型 @see ShareContentType @param title 标题 @param contentDescription 分享描述 @param thumbnail 缩略图 @param url 内容网页地址 @param StreamUrl 数据流地址 */ +(void)shareMultimediaToPlatformType:(UMSocialPlatformType)platformType ShareContentType:(ShareContentType)ShareContentType title:(NSString *)title contentDescription:(NSString *)contentDescription thumbnail:(id)thumbnail url:(NSString *)url StreamUrl:(NSString *)StreamUrl success:(success)success failure:(failure)failure;
微信开发网页获取用户信息封装类 传入(AppID AppSecret)
01-18
微信开发网页获取用户信息封装类2.0授权 传入(AppID AppSecret)即可获取用户信息 直接获取openid不需要用户授权。 友情提示:需要认证的服务号才有获取权限的资格
开放api接口平台:appidappkeyappsecret
thlzjfefe的博客
03-13 2911
文章目录 一、什么是appidappkeyappsecret 二、云服务AppIdAppKeyAppSecret生成策略 三、API接口开发安全性 四、基于AccessToken方式实现API设计 五、常见问题总结 做API接口,为什么access_token要放在Header头里传递? 六、参考 一、什么是appidappkeyappsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id
如何优雅的为开放平台设计一个安全好用的OpenApi?
方志朋的博客
01-24 90
为了确保软件接口的标准化和规范化,实现业务模块的重用性和灵活性,并提高接口的易用性和安全性,OpenAPI规范应运而生。这一规范通过制定统一的接口协议,规定了接口的格式、参数、响应和使用方法等内容,从而提高了接口的可维护性和可扩展性。同时,为了也需要考虑接口的安全性和稳定性,本文将针对这些方面介绍一些具体的实践方式。1AppIdAppSecretAppId的使用AppId作为一种全局唯一的标识符...
AppKeyAppSecret的基本概念
最新发布
weixin_45875986的博客
03-14 448
AppKeyApplication Key的缩写,意思是应用密钥。它是一种用于验证API接入合法性的凭证,类似于用户名和密码的作用。每个AppKey都是唯一的,只能对应一个应用。AppKey通常和AppSecret(应用私密)一起使用,AppSecret是一种用于加密和解密数据的密钥,类似于密码的作用。AppKeyAppSecret都是由API接口平台提供的,应用开发者需要在平台上注册并创建应用,才能获取到AppKeyAppSecret。
移动应用开发中AppIDAppKeyAppSecret到底是什么?
热门推荐
java
10-24 4万+
AppID:应用的唯一标识 AppKey:公匙(相当于账号) AppSecret:私匙(相当于密码) token:令牌(过期失效)   使用方法 1. 向第三方服务器请求授权时,带上AppKeyAppSecret(需存在服务器端) 2. 第三方服务器验证AppKeyAppSecret在DB中有无记录 3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给...
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 2865
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi。
如何生成一个好的appkeyappsecret
毅呀毅呀哟
06-14 2358
随机生成 appkeyappsecret:通过伪随机数生成器(PRNG)生成足够强度和长度的随机字符串作为 appkeyappsecret。选择一个强大的加密算法:为了保护 appkeyappsecret 的安全性,应该选择一个强大的加密算法。定期更换 appkeyappsecret:由于客攻击技术不断进化,建议定期更换 appkeyappsecret,以提高应用程序的安全性。生成一个好的 appkeyappsecret 是应用程序安全设计的重要组成部分。
API平台都有的AppidAppkeyAppsecret分别是什么意思
write less , do more
02-28 7787
在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。 appid appid通常情况下指的是一个用户的账号,表示一个企业或个人的账号。 该账号通常跟开通的商户实体所一一对应。通过该参数平台能找到你是谁。在接口调用的过程中很少直接使用appid,一般会配合秘钥使用。 有了统一的appid,此时如果针对同一个业务要划分不同的权限,比如同一功能,某些场景需要只读权限,某些场景需要读写权限。这样提供一个appid和对应
java培训:怎样才能写出一个优秀的对外接口
weixin_45695430的博客
04-14 818
以下文章来源于Java知音 安全性 1、创建appid,appkeyappsecret appid:应用的唯一标识 appkey:公钥=账号 appsecret:私钥=密码 1、设计一个认证系统,专用于创建第三方接入应用的账号信息,用于生成appid,appkeyappsecret,然后发appkeyappsecret给第三方接入应用,用于做认证 ps:appkeyappsecret成对出现的机制,目的在于首次验证(类似登录场景),用来申请一个token,之后请求数据请求,就直接带tok
ShareSDK:一个共享登录的开源实现
07-13
共享SDK 1.0 支持平台: 1:qq 2:QQ空间3:微信4:微信朋友圈5:新浪微博6:腾讯微博7:人人8:豆瓣如何使用: (1) 将解压出来的ShareSDK复制到你的Eclipse工作区中; (2) 将你的项目依赖添加到ShareSDK; (3) 将“ShareSDK/asserts/platforms.xml”复制到“project/asserts”; (4) 配置platforms.xml,cofig参数说明: id:字符串字段,该字段不可更改; appid,appkey,appsecret: 字符串字段,这些字段来自第三方平台; redirecturl,redirecturls: String 字段,redirecturl 优先级更高,是oauth 时的回调url; authorizeurl:字符串字段,获取oauth码的url; accesstokenurl:字符串字段,
c++ 发送https POST请求并获取返回数据(包含appKeyappSecret)
05-24
c++ 发送https POST请求并获取返回数据(包含appKeyappSecret)
AppID登陆
01-03
打开开发者网站 http://developer.apple.com/ 登上开发者账号 找到应用程序的ID 如果是新的应用 直接在新建应用的时候勾选上(新建过得编辑然后勾选) Sign In with Apple 如图 然后用Xcode打开或者新建的项目 添加AuthenticationServices.framework TARGETS -> Build Phases -> Link Binary With Libraries -> AuthenticationServices.framework 然后再添加App登录的功能 TARGETS -> Signing& Capabilities
MIOT FDS功能指南-微服务1
08-03
1. 创建云服务密钥 2. 为云服务密钥授权读写权限 3. 将步骤1生成的AppIDAppKeyAppSecret信息通过邮件发送给MIOT 1. 获取上传
阿里云javasdk源码-CNIMStudy:即时聊天后台服务端代码
06-06
阿里云java sdk源码 CNIMStudy 即时聊天后台服务端代码 IM知识点(前后端都涉及大) 标签(空格分隔): ...AppSecret:hv9MIQpECo5j6qVI196gz7 AppKey:xO2Cm6I3do61pXLseLU0S2 MasterSecret:OXGSBCVB8u5sk
直播商城小程序.zip
08-01
3、ThinkPHP\Library\Vendor\wxpay\lib\WxPay.Config.php 微信小程序的appidappsecret、mchidkey参数修改; 4、ThinkPHP\Library\Vendor\WeiXinpay\lib\WxPay.Config.php 微信小程序的appidappsecret、mchid、...
帮我写一个好的用SM国密生成appkeyappsecret的java代码
03-21
当然,我可以帮您编写一个使用SM国密生成appkeyappsecret的Java代码。以下是示例代码: ``` import java.security.*; import javax.crypto.*; import javax.crypto.spec.*; public class SMAppKeyGenerator { private static final String ALGORITHM = "SM3withSM2"; private static final String KEY_ALGORITHM = "EC"; private static final String PROVIDER = "GM"; public static void main(String[] args) throws Exception { String appId = "your_app_id"; String appSecret = generateAppSecret(); String appKey = generateAppKey(appId, appSecret); System.out.println("AppId: " + appId); System.out.println("AppSecret: " + appSecret); System.out.println("AppKey: " + appKey); } private static String generateAppSecret() throws Exception { KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(KEY_ALGORITHM, PROVIDER); keyPairGenerator.initialize(new ECGenParameterSpec("sm2p256v1")); KeyPair keyPair = keyPairGenerator.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); byte[] encodedPrivateKey = privateKey.getEncoded(); return bytesToHexString(encodedPrivateKey); } private static String generateAppKey(String appId, String appSecret) throws Exception { byte[] appIdBytes = appId.getBytes("UTF-8"); byte[] appSecretBytes = hexStringToBytes(appSecret); byte[] data = new byte[appIdBytes.length + appSecretBytes.length]; System.arraycopy(appIdBytes, 0, data, 0, appIdBytes.length); System.arraycopy(appSecretBytes, 0, data, appIdBytes.length, appSecretBytes.length); MessageDigest messageDigest = MessageDigest.getInstance(ALGORITHM, PROVIDER); byte[] digest = messageDigest.digest(data); return bytesToHexString(digest); } private static String bytesToHexString(byte[] bytes) { StringBuilder sb = new StringBuilder(); for (byte b : bytes) { String hex = Integer.toHexString(b & 0xFF); if (hex.length() == 1) { sb.append('0'); } sb.append(hex); } return sb.toString(); } private static byte[] hexStringToBytes(String hexString) { int len = hexString.length() / 2; byte[] bytes = new byte[len]; for (int i = 0; i < len; i++) { bytes[i] = (byte) Integer.parseInt(hexString.substring(i * 2, i * 2 + 2), 16); } return bytes; } } ``` 这段代码使用了SM2算法生成了一个公私钥对,然后使用SM3withSM2算法对AppIdAppSecret进行哈希计算,得到AppKey。请注意,这里使用了Bouncy Castle作为Java加密库的提供者,因为它支持SM算法。如果您的Java环境中没有安装Bouncy Castle,您需要先下载并安装它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值