【HTTP API】简单的http签名算法

最新推荐文章于 2024-04-29 17:16:20 发布
最新推荐文章于 2024-04-29 17:16:20 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 14. HTTP API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguolinblog/article/details/90607475
版权

常见的CS架构中,客户端经常需要请求服务端提供的公网接口。由于接口暴露在公网,存在以下几个问题

  1. 接口就很容易被其他人利用甚至有可能导致被刷接口影响服务可用性。
  2. 请求被篡改,影响实际请求结果
  3. 其它问题

为了解决这些问题,最简单的方法是客户端请求服务端的时候加个sig签名,服务端对sig签名做个判断。
通过简单的sig签名能够防住一些被刷接口的可能,同时也能够做下请求校验,可以达到初步的防御效果。

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import os
import sys
import time
import md5

# 常量定义
SIG = "sig"
SIG_TIME = "sigTime"
SIG_VERSION = "sigVersion"
SIG_FINAL_STRING = "sigFinalString"
SIG_SDK_APP_SECRET = "xxx"              # 密钥 客户端服务端提前约定好即可
SIG_SDK_ADD_KEY = "yyy"                 # 盐   客户端服务端提前约定好即可

def get_signature(path, params, sig_time):
    new_path = path.lstrip("/")
    new_params = sort_params(params)
    return generate_signature(new_path, new_params, sig_time)

def sort_params(params):
    values = list()
    for k, v in params.items():
        if k == S
最低0.47元/天 解锁文章
玄苦大师233
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 689
签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户端在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器端在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数中加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求中添加签名字符串和时间戳参数,发送给服务器。
接口测试必备技能—加密和签名
最新发布
HUA1211的博客
04-29 560
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
http接口签名机制
Monten_Cristo的博客
06-26 2606
第三方接口
API签名方式
leekyyy18的博客
02-24 1527
前言 现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下: 非法使用 API 服务。(收费接口非法调用) 恶意攻击和破坏。(数据篡改、DOS) 因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名HTTP 简单身份认证 在 HTTP 请求的 Header 中添加认证
Java http 加签(验签)工具类:采用SHA-1算法
weixin_43139560的博客
09-08 1284
文章目录Java http 加签(验签)工具类:采用SHA-1算法什么是加签验签为什么要做加签验签如何做加签验签加签规则具体代码(可以直接Ctrl C+V) Java http 加签(验签)工具类:采用SHA-1算法 什么是加签验签 加签验签,发送消息方,对消息加签名;接受消息方,验证签名是否正确。 为什么要做加签验签 做加签验签的目的主要目的就是,验证消息的完整性 如何做加签验签 简单来说, 发送消息方: 1、根据消息内容形成摘要 2、根据摘要形成签名字段 3、发送消息 接受消息方: 1、接受消
WebApi 使用TOKEN+签名验证
10-17
服务器端使用相同的密钥和算法重新计算签名,比较两者是否一致。 - **签名生成**:客户端在构建请求时,将所有请求参数(如GET的查询字符串或POST的请求体)按照特定顺序拼接成字符串,然后用私钥进行哈希运算,...
HTTP API接口应当具备的功能 1. 身份认证=hash签名 2. 加密 3. ip白名单 4. 限流 5. 参数校验 6
03-24
Hash签名是一种常见的方法,它涉及到将请求的特定参数(如时间戳、API密钥等)与预共享的秘密key结合,通过哈希函数计算出一个签名,然后将签名附在请求头中。服务器端会重新执行同样的计算过程来验证签名,以确认...
阿里云API 签名机制(C#) 解决SignatureDoesNotMatch错误
03-19
阿里云API签名过程基于HMAC-SHA256算法,主要包括以下步骤: - 拼接请求参数,包括公共参数(如AccessKeyId、Timestamp)和业务参数。 - 对拼接后的字符串进行URL编码。 - 拼接AccessKeySecret和URL编码后的...
okhttp-aws-signer:适用于OkHttp请求的AWS V4签名算法
05-11
Okhttp AWS Signer 这是一个kotlin库,它实现了针对请求的所述的AWS V4签名算法。 它不依赖于Amazon SDK。 获取图书馆 当前最简单的获取库的方法是使用 dependencies { implementation ' com.github.babbel:okhttp-aws-signer:<tag> ' } 您还可以通过执行gradle任务shadowJar创建胖JAR。 该任务来自插件。 用法 您需要首先设置签署者对象: val signer = OkHttpAwsV4Signer (region, serviceName) region是您正在运行服务的区域,即eu-west-1 。 serviceName应该是您调用的服务的名称,即execute-api 。 收到请求后,您可以轻松地通过以下方式对其进行签名: val newRe
WebApi Token+ 数字签名认证源码
04-10
在Web API中,通常使用非对称加密算法如RSA或ECDSA来生成和验证数字签名。 在C# WebAPI中实现Token+数字签名认证的过程大致如下: 1. **身份验证**:当用户成功登录后,服务器会生成一个Token,包含用户的标识和...
http请求签名生成算法
瑾修的博客
12-02 820
http请求签名生成算法、 lua & golang
HTTP接口签名校验
weixin_38370441的博客
08-31 1164
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
接口安全--http数字签名
热门推荐
u011521890的专栏
02-17 1万+
为了保证http请求数据的安全性和防篡改性。我们通常要对请求参数进行一些加密。 加密规则可以根据双方接口协商定义。这里举一个常用的加密协议例子。1. sign加密协议接口协议中通常会提供一个 appKey作为唯一的标识。 appSecret作为接入密钥。 例如:appkey=hh appSecret=39ertfefdsg406c7c36592d42022aaecc 请求路径 http:/
http请求中简单签名验证
qmister
08-01 2911
安装 安装包文件 composer require "entere/sign:v1.0.0" 使用 php 实例: <?php require_once("./src/Sign.php"); use Entere\Sign\Sign; $params = [ 'access_key'=>'7576762362', 'timestamp'=>'1439279383630', 'screen_name'=>'entere', 'forma
HTTP对外接口,如何增加签名机制
ahjxhy2010的博客
01-22 8125
接口开发是各系统之间对接的重要方式,其数据是通过开放的互联网传输,对数据的安全性要有一定要求。为了提高传输过程参数的防篡改性,签名sign的方式是目前比较常用的方式。 我这里介绍一种方式,是目前国内互联网公司常用的一种方式,其中淘宝的支付宝支付接口、淘宝开放平台接口、腾讯开放平台等应用的一种方式。  一、签名参数sign生成的方法 第1步: 将所有参数(注意是所有参数),除去sign
浅谈常见的七种验签以及加密算法实现
holmeswf的博客
12-13 2682
前言 数字签名、信息加密 是前后端开发都经常需要使用到的技术,应用场景包括了用户登入、交易、信息通讯、oauth 等等,不同的应用场景也会需要使用到不同的签名加密算法,或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用。 正文 数字签名 数字签名简单来说就是通过提供 可鉴别 的 数字信息 验证 自身身份 的一种方式。一套 数字签...
hyperf接口签名算法
06-10
在 Hyperf 中实现接口签名算法,可以保证接口的安全性,防止非法请求。具体实现步骤如下: 1. 在 config/autoload 文件夹下创建一个 signature.php 配置文件,用于存储签名相关的配置信息。例如: ``` <?php return [ 'secret_key' => env('SIGNATURE_SECRET_KEY', 'your_secret_key'), 'timeout' => env('SIGNATURE_TIMEOUT', 60), ]; ``` 其中,secret_key 是用于签名的密钥,timeout 是签名的有效期(单位为秒)。 2. 创建一个 SignatureService 类,用于生成和验证签名。例如: ``` <?php declare(strict_types=1); namespace App\Service; use Hyperf\Utils\Codec\Json; use Hyperf\Utils\Str; class SignatureService { /** * 生成签名 * * @param array $data 需要进行签名的数据 * @param int $timestamp 时间戳 * @return string */ public function generate(array $data, int $timestamp): string { // 将数据按照字典序排序,拼接成字符串 ksort($data); $dataStr = http_build_query($data); // 将时间戳拼接到数据字符串的末尾 $dataStr .= '&' . $timestamp; // 使用密钥对数据字符串进行HMAC-SHA256加密,生成签名 $secretKey = config('signature.secret_key'); $signature = hash_hmac('sha256', $dataStr, $secretKey); return $signature; } /** * 验证签名 * * @param string $signature 签名 * @param array $data 需要进行签名的数据 * @param int $timestamp 时间戳 * @return bool */ public function verify(string $signature, array $data, int $timestamp): bool { // 计算签名 $expectedSignature = $this->generate($data, $timestamp); // 验证签名是否一致 return hash_equals($signature, $expectedSignature); } /** * 从请求参数中获取签名 * * @param array $params 请求参数 * @return string|null */ public function getSignature(array $params): ?string { return $params['signature'] ?? null; } /** * 从请求参数中获取时间戳 * * @param array $params 请求参数 * @return int|null */ public function getTimestamp(array $params): ?int { return $params['timestamp'] ?? null; } /** * 从请求参数中获取业务数据 * * @param array $params 请求参数 * @return array|null */ public function getData(array $params): ?array { $dataJson = $params['data'] ?? null; if (! $dataJson) { return null; } return Json::decode($dataJson, true); } /** * 生成请求参数 * * @param array $data 业务数据 * @return array */ public function generateParams(array $data): array { $timestamp = time(); $signature = $this->generate($data, $timestamp); return [ 'data' => Json::encode($data), 'timestamp' => $timestamp, 'signature' => $signature, ]; } /** * 验证请求参数 * * @param array $params 请求参数 * @return bool */ public function verifyParams(array $params): bool { $signature = $this->getSignature($params); $timestamp = $this->getTimestamp($params); $data = $this->getData($params); if (! $signature || ! $timestamp || ! $data) { return false; } // 验证签名是否正确,并且验证签名是否过期 $timeout = config('signature.timeout', 60); $currentTime = time(); return $this->verify($signature, $data, $timestamp) && ($currentTime - $timestamp) <= $timeout; } } ``` 在 SignatureService 类中,generate 方法用于生成签名,verify 方法用于验证签名,getSignature、getTimestamp 和 getData 方法用于从请求参数中获取签名、时间戳和业务数据,generateParams 方法用于生成请求参数,verifyParams 方法用于验证请求参数是否正确。 3. 在控制器中使用 SignatureService 类进行接口签名的生成和验证。例如: ``` <?php declare(strict_types=1); namespace App\Controller; use App\Service\SignatureService; use Hyperf\HttpServer\Annotation\AutoController; use Hyperf\HttpServer\Annotation\Middleware; use Hyperf\HttpServer\Annotation\MiddlewareRegister; /** * @AutoController() * @MiddlewareRegister(SignatureMiddleware::class) */ class ApiController extends Controller { /** * @Middleware(SignatureMiddleware::class) */ public function index(SignatureService $signatureService) { // 从请求参数中获取业务数据 $params = $this->request->all(); $data = $signatureService->getData($params); // 处理业务逻辑 // ... // 返回结果 return $this->success([ 'data' => $data, ]); } /** * @Middleware(SignatureMiddleware::class) */ public function test(SignatureService $signatureService) { // 从请求参数中获取业务数据 $params = $this->request->all(); $data = $signatureService->getData($params); // 处理业务逻辑 // ... // 返回结果 return $this->success([ 'data' => $data, ]); } } ``` 在 ApiController 控制器中,使用 @MiddlewareRegister(SignatureMiddleware::class) 注解表示需要使用 SignatureMiddleware 中间件进行接口签名的验证,使用 SignatureService 类进行签名的生成和验证。 4. 创建 SignatureMiddleware 中间件,用于验证接口签名。例如: ``` <?php declare(strict_types=1); namespace App\Middleware; use App\Service\SignatureService; use Hyperf\HttpMessage\Stream\SwooleStream; use Hyperf\HttpServer\Contract\RequestInterface; use Hyperf\HttpServer\Contract\ResponseInterface; use Hyperf\Utils\Codec\Json; use Psr\Http\Message\ResponseInterface as PsrResponseInterface; use Psr\Http\Message\ServerRequestInterface; use Psr\Http\Server\MiddlewareInterface; use Psr\Http\Server\RequestHandlerInterface; class SignatureMiddleware implements MiddlewareInterface { /** * @var SignatureService */ protected $signatureService; public function __construct(SignatureService $signatureService) { $this->signatureService = $signatureService; } public function process(ServerRequestInterface $request, RequestHandlerInterface $handler): PsrResponseInterface { // 验证请求参数是否正确 $params = $request->getQueryParams(); if (! $this->signatureService->verifyParams($params)) { // 请求参数错误,返回 400 错误 $response = make(ResponseInterface::class); return $response->withStatus(400); } // 验证通过,将业务数据保存到请求中 $data = $this->signatureService->getData($params); $request = $request->withParsedBody($data); return $handler->handle($request); } } ``` 在 SignatureMiddleware 中间件中,使用 SignatureService 类进行接口签名的验证,如果签名验证失败,则返回 400 错误;如果验证通过,则将业务数据保存到请求中,以便后续方法进行业务处理。 通过以上步骤,你就可以在 Hyperf 中实现接口签名算法,确保接口的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值