【HTTP API】简单的http签名算法

最新推荐文章于 2024-07-31 20:06:41 发布
最新推荐文章于 2024-07-31 20:06:41 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 14. HTTP API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguolinblog/article/details/90607475
版权
本文介绍了在CS架构中,为了防止公网接口被滥用和请求被篡改,采用HTTP API签名的方法。通过添加sig签名,服务端进行验证,可以有效提升接口安全性。签名过程包括:忽略URL路径中的'/',参数排序,拼接密钥和盐,最后计算MD5值。
摘要由CSDN通过智能技术生成

常见的CS架构中,客户端经常需要请求服务端提供的公网接口。由于接口暴露在公网,存在以下几个问题

  1. 接口就很容易被其他人利用甚至有可能导致被刷接口影响服务可用性。
  2. 请求被篡改,影响实际请求结果
  3. 其它问题

为了解决这些问题,最简单的方法是客户端请求服务端的时候加个sig签名,服务端对sig签名做个判断。
通过简单的sig签名能够防住一些被刷接口的可能,同时也能够做下请求校验,可以达到初步的防御效果。

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import os
import sys
import time
import md5

# 常量定义
SIG = "sig"
SIG_TIME = "sigTime"
SIG_VERSION = "sigVersion"
SIG_FINAL_STRING = "sigFinalString"
SIG_SDK_APP_SECRET = "xxx"              # 密钥 客户端服务端提前约定好即可
SIG_SDK_ADD_KEY = "yyy"                 # 盐   客户端服务端提前约定好即可

def get_signature(path, params, sig_time):
    new_path = path.lstrip("/")
    new_params = sort_params(params)
    return generate_signature(new_path, new_params, sig_time)

def sort_params(params):
    values = list()
    for k, v in params.items():
        if k == S
最低0.47元/天 解锁文章
玄苦大师233
关注
专栏目录
API接口签名生成算法签名验证算法
举世武双的博客
01-05 1万+
1、参考网上资料和书本资料,实现了API接口签名生成算法签名验证算法。 (1)参考资料:https://www.jianshu.com/p/d47da77b6419 (2)参考书籍:高级软件架构师教程(311-312)   2、API接口签名生成算法 主要步骤如下: (1)将所有业务请求参数按字母先后顺序排序。 (2)参数名称和参数值链接成一个字符串A。 (3)在字符串A的首尾加...
okhttp-aws-signer:适用于OkHttp请求的AWS V4签名算法
05-11
Okhttp AWS Signer 这是一个kotlin库,它实现了针对请求的所述的AWS V4签名算法。 它不依赖于Amazon SDK。 获取图书馆 当前最简单的获取库的方法是使用 dependencies { implementation ' com.github.babbel:okhttp-aws-signer:<tag> ' } 您还可以通过执行gradle任务shadowJar创建胖JAR。 该任务来自插件。 用法 您需要首先设置签署者对象: val signer = OkHttpAwsV4Signer (region, serviceName) region是您正在运行服务的区域,即eu-west-1 。 serviceName应该是您调用的服务的名称,即execute-api 。 收到请求后,您可以轻松地通过以下方式对其进行签名: val newRe
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 780
签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户端在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器端在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数中加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求中添加签名字符串和时间戳参数,发送给服务器。
接口数据使用了 RSA 加密和签名?一篇文章带你了解
最新发布
weixin_71807218的博客
07-31 955
很多童鞋在工作中,会遇到一些接口使用RSA加密和签名来处理的请求参数,那么遇到这个问题的时候,第一时间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个时候就会比较尴尬了,看着这一团加解密的代码,自己却不知从何下手,再去找开发给写个python版本的,开发估计不一定搭理你,就算搭理你,开发也未必会python,那么今天咱们就来讲讲如何通过python来实现RSA加
http请求签名生成算法
瑾修的博客
12-02 858
http请求签名生成算法、 lua & golang
http接口签名机制
Monten_Cristo的博客
06-26 2720
第三方接口
聊聊 API 签名方式
m0_59598029的博客
02-07 295
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
WebApi Token+ 数字签名认证源码
04-10
在Web API中,通常使用非对称加密算法如RSA或ECDSA来生成和验证数字签名。 在C# WebAPI中实现Token+数字签名认证的过程大致如下: 1. **身份验证**:当用户成功登录后,服务器会生成一个Token,包含用户的标识和...
WebApi 使用TOKEN+签名验证
10-17
服务器端使用相同的密钥和算法重新计算签名,比较两者是否一致。 - **签名生成**:客户端在构建请求时,将所有请求参数(如GET的查询字符串或POST的请求体)按照特定顺序拼接成字符串,然后用私钥进行哈希运算,...
HTTP接口签名校验
weixin_38370441的博客
08-31 1219
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
HTTP API签名规则
weixin_30952103的博客
02-28 268
签名步骤 将所有参数(注意是所有参数),除去sign本身,以及值是空的参数,按参数名字母升序排序。 然后把排序后的参数按参数1值1参数2值2…参数 n 值n(这里的参数和值必须是传输参数的原始值,不能是经过处理的,如不能将&quot;转成”后再拼接)的方式拼接成一个字符串。 把分配给接入方的验证密钥key拼接在第 2 步得到的字符串后面。 计算步骤 3 所得字符串的 md5 值...
Java http 加签(验签)工具类:采用SHA-1算法
weixin_43139560的博客
09-08 1435
文章目录Java http 加签(验签)工具类:采用SHA-1算法什么是加签验签为什么要做加签验签如何做加签验签加签规则具体代码(可以直接Ctrl C+V) Java http 加签(验签)工具类:采用SHA-1算法 什么是加签验签 加签验签,发送消息方,对消息加签名;接受消息方,验证签名是否正确。 为什么要做加签验签 做加签验签的目的主要目的就是,验证消息的完整性 如何做加签验签 简单来说, 发送消息方: 1、根据消息内容形成摘要 2、根据摘要形成签名字段 3、发送消息 接受消息方: 1、接受消
API签名方式
leekyyy18的博客
02-24 1534
前言 现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下: 非法使用 API 服务。(收费接口非法调用) 恶意攻击和破坏。(数据篡改、DOS) 因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名HTTP 简单身份认证 在 HTTP 请求的 Header 中添加认证
http请求中简单签名验证
qmister
08-01 2968
安装 安装包文件 composer require "entere/sign:v1.0.0" 使用 php 实例: <?php require_once("./src/Sign.php"); use Entere\Sign\Sign; $params = [ 'access_key'=>'7576762362', 'timestamp'=>'1439279383630', 'screen_name'=>'entere', 'forma
接口安全--http数字签名
热门推荐
u011521890的专栏
02-17 1万+
为了保证http请求数据的安全性和防篡改性。我们通常要对请求参数进行一些加密。 加密规则可以根据双方接口协商定义。这里举一个常用的加密协议例子。1. sign加密协议接口协议中通常会提供一个 appKey作为唯一的标识。 appSecret作为接入密钥。 例如:appkey=hh appSecret=39ertfefdsg406c7c36592d42022aaecc 请求路径 http:/
支付接口文档:统一下单与签名算法
2. 签名算法 - 签名生成流程:签名用于验证消息的完整性和来源的可信性。这里使用了MD5算法,步骤如下: - 首先,按字典序排列所有非空参数,并以URL键值对格式拼接成字符串`stringA`。 - 接着,将`stringA`与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值