api签名认证原来如此简单

最新推荐文章于 2024-07-31 14:51:00 发布
最新推荐文章于 2024-07-31 14:51:00 发布
阅读量775 收藏 2
点赞数 3
分类专栏: 后端技术 文章标签: okhttp 网络 安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carrot11223/article/details/130329766
版权

背景

背景: 写了几个模拟接口,为了防止恶意调用,准备了一些策略。

现在要做的是写一个真实将会被用户调用的接口,首先先创建一个新的项目。

准备提供三个接口 : post,get以及post传入json

那接口写好了,怎么调用呢 ? 前端和后端都可以调用,但是一般都是用后端去调用的,由于可能调用接口的时候会传入一些参数,如果直接被劫持就不好了。
在这里插入图片描述

接口调用方式

接下来介绍几种调用接口的方式:

几种HTTP 调用方式 :

  1. HttpClient
  2. RestTemplate
  3. 第三方库 (OKHTTP,Hutool)

这里使用hutool : 入门和安装 (hutool.cn)

参考文档当中的安装一节,引入依赖,全局搜索http,研究http客户端工具类httpUtils

根据它,我写好了相关的第三方调用的东西,然后做了一个test,之后我们再思考,谁都能随便调用这个接口吗 ? 如果有一个恶意用户一直调用,一方面他在刷我的流量,另一方面,也会影响其他正常的用户进行访问,现在问题是调用这个接口的时候,不像之前删除用户一样,起码有个session可以去判断是不是为管理员,这里用到的是一个签名认证的东西,之前面试官还问过我,我没答上来,这次要好好看一看!!
下面让我们隆重欢迎今天的主人公,签名认证,dangdangdangdang~~

api签名认证

之前web系统调用很多后端的东西,都是先看session当中的用户有没有这个权限,如果有的话就可以查看,是有状态的。登录一次,只要session会话存在,就可以一直延续这种状态。

而我们现在调用的接口,也这样去鉴别你的身份,也需要这样的用户名和密码,但是这种用户名和密码相对于web系统有些特殊,它并不是真正肉眼可见的用户名和密码,但是我通过这个可以知道你是不是我允许进入的人,我可不可以让你进来,另外它是无状态的,当然http本身也是无状态的,正是因为这样,才有了session,http请求是每次请求我不管你之前是不是请求过,我只认识你当前的这一次请求,这次我们接口用的也是这样,那这里的用户名和密码怎么办呢? 想起来之前用过百度接口,里面不是有一个API key (有的云服务商也叫access key)和一个(密钥) secert key吗?一般也叫ak和sk ,当时傻傻的不知道,反正就是能用就行,现在才明白前者是一个相当于用户名的东西,后者相当于是密码的东西,既然是无状态的,那么每次请求都需要携带,还带两个,所以我看百度那里根据这两个东西又生成了一个叫做access_Token的东西,以后只要每次携带这个就可以了,记得吗? 你当时请求可是每次都携带这个的,只不过你把它写到了常量包里,时间一长,可能有点忘记了。原来当时面试官问的是这个啊,害,就这?有什么难度?就是当时不知道而已哈哈哈。
在这里插入图片描述
其实jwt是签名认证的一个环节。

补充: CSRF跨站伪造请求攻击

CSRF攻击

跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是指,攻击者可能利用网页中的恶意代码强迫受害者浏览器向被攻击的Web站点发送伪造的请求,篡夺受害者的认证Cookie等身份信息,从而假冒受害者对目标站点执行指定的操作。FirefoxOpera等浏览器使用单进程机制,多个窗口或标签使用同一个进程,共享Cookie等会话数据。IE则混合使用单进程与多进程模式,一个窗口中的多个标签,以及使用“CTRL+N” 或单击网页中的链接打开的新窗口使用同一进程,共享会话数据;只有直接运行IE可执行程序打开窗口时,才会创建新的进程。Chrome虽然使用多进程机制,然而经测试发现,其不同的窗口或标签之间仍会共享会话数据,除非使用隐身访问方式。因而,用户同时打开多个浏览器窗口或标签访问互联网资源时,就为CSRF攻击篡夺用户的会话Cookie创造了条件。另外,如果一个Web站点提供持久化Cookie,则CSRF攻击将更直接、更容易 [3] 。

那么在数据库的用户表里面,新增两个字段,一个是accessKey 另一个是secretKey,先手动给用户分配一个,也可以自己写,这里先测试以下效果。

之后在调用接口的时候改造一下函数,让调用函数的时候也同时传递ak和sk。

签名认证

但是服务端之间直接传输secretKey并没有那么安全,万一被劫持了,那就有了下面的知识点 :

  1. 加密方式: 对称加密,非对称加密,md5签名(不可解密)

    用户参数 + 密钥 => 签名生成算法(SHA1,MD5,HMAC) => 不可解密的值

    abc + abcdefgh => sfjkdsfjlskfs

    怎么知道这个签名对不对? 服务端用一模一样的参数和算法去生成签名,只要和用户传的一致,就表示一致。

    但是就算加密了,万一被别人重放了呢? 重放就是别人相当于是一个代理服务器,用你的身份再次发送了一次请求。解决方法:

    1. 怎么防止重放?

      1. 加nonce 随机数,只能用一次

        缺点: 服务端要保存用过的随机数,如果数据量太大的话,占用空间

      2. 加timestamp时间戳,比如限制几分钟之内的不能用了,不能重放昨天的请求之类的,校验时间戳是否过期。

​ 一般来说,这两种方式可以配合使用。

Hutool的使用

用Hutool提供的进行签名加密:
在这里插入图片描述
在这里插入图片描述
API签名认证很灵活,具体要有哪些参数,要根据具体场景去看。

但是总的看下来,会发现写好的接口,这个接口是给别人调用的,但是每次请求的参数包括但不仅限于时间戳之类的,一些必要的参数比如accessKey传输没问题,但是其他的也要调用者传输的话,就有点麻烦了,所以这里需要有一个便于调用者调用代码的SDK,这样调用api的开发者也就不会抓狂了。

在这里插入图片描述
创作不易,给个心心啦~❤

carrot11223
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java验证签名_简单API接口签名验证
weixin_42291186的博客
02-12 1563
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
聊聊 API 签名方式
A_991128a的博客
05-14 788
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
kubernetes API 访问控制之:认证
看,未来的博客
06-02 2086
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问APIAPI的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
API安全之路:从黑客攻防到签名认证体系
qq_47923467的博客
10-01 952
API 签名认证体系,实现简要讲解,如何对公开接口进行无需保存登录态保护
API 双方认证探讨
weixin_34384915的博客
04-24 59
转:API 双方认证探讨 开放 api 已是大势所趋。而 api 这种东西有个特点就是覆水难收。一旦公开出去了,被大量用户使用,一旦修改,就会让广大用户都掉坑里。所以,api 在设计之初就要尽量考虑周全,并预留扩展可能。 目前绝大多数 api 都是通过 http 协议访问。api 一般有两类,一类只涉及到提供方和使用者,另一类还涉及到最终用户。因此,前一类在认证上也只涉及两方,而后一类还涉及到...
API 安全策略和基础指南
Explinks的博客
06-26 1051
本文将重点介绍API 安全为何已成为当今企业的重要关注点,以及它与应用程序安全有何不同。
API Server简介
热门推荐
u010453704的博客
12-05 1万+
API Server简介 一、API Server简介 1.1 API Server功能 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 1. 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 2. 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只.
从OWASP API Security TOP 10谈API安全
qq_33163046的博客
04-17 1582
API安全是个持续的过程,要求开发者、操作和安全团队协作确保API面临的风险得到恰当管理。遵循OWASP API Security Top 10是创建一个更安全API生态系统的基础。在构建API时,要确保考虑到这些主要的安全问题,并在API的整个生命周期中持续关注安全保障。参考:OWASP API Security TOP 10中文项目 2023OWASP API Security TOP 10中文项目 — OWASP-CHINA。
K8S原来如此简单(八)ServiceAccount+RBAC
weixin_45566993的博客
03-27 2290
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475目录 ServiceAccount RBAC 正文 回到顶部## ServiceAccount ServiceAccount是给运行在Pod的程序使用的身份认证,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户。 ServiceAccou
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
Laravel5.4简单实现app接口Api Token认证方法
01-02
在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证。 一、给用户表users增加api_token字段 ...
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
RESTful Api 身份认证中的安全性设计探讨
cruise技术博客
03-14 1513
REST是一种软件架构风格。RESTful Api 是基于 HTTP 协议的 Api,是无状态传输。它的核心是将所有的 Api 都理解为一个网络资源。将所有的客户端和服务器的状态转移(动作)封装到 HTTP 请求的 Method  之中。 详情可以阅读 http://mengkang.net/620.html 。 而本篇文章则主要是讨论 RESTful Api 身份认证安全性设计。 没有绝对
掌握AJAX技术:从基础到实战
2301_80064376的博客
07-26 928
在现代Web开发中,AJAX(Asynchronous JavaScript and XML)技术已经成为一个不可或缺的工具。**它不仅提升了用户体验,还显著提高了网页的动态交互能力**。本文将为初学者详细介绍AJAX技术的基础知识,并通过简单的实例帮助大家快速上手。
【中项】系统集成项目管理工程师-第8章 信息安全工程-8.2信息安全系统
m0_66540684的博客
07-30 1095
信息安全保障系统一般简称为信息安全系统,它是“信息系统”的一个部分,用于保证“业务应用信息系统”正常运营。现在人们己经明确,要建立一个“信息系统”,就必须要建立一个或多个业务应用信息系统和一个信息安全系统。信息安全系统是客观的、独立于业务应用信息系统而存在的信息系统。
Linux防火墙2
最新发布
YCyjs的博客
07-31 1300
SNAT 应用环境局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由),私转公SNAT原理:源地址转换,根据指定条件,通常被叫做SNAT转换前提条件:1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发。
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值