接口签名中的三位小伙伴signature,nonce,timestamp

最新推荐文章于 2023-06-27 18:10:52 发布
最新推荐文章于 2023-06-27 18:10:52 发布
阅读量4.7k 收藏 9
点赞数 1
原文链接:https://my.oschina.net/kalnkaya/blog/3082949
版权

在请求一些开放平台的接口时,我们一般会在请求头中塞入一些签名相关的信息以证明身份。以微信API-V3的为例,请求头中包含的认证信息主要包含:

  1. signature(签名值)
  2. nonce(随机串)
  3. timestamp(时间戳)

本文将一步步介绍以上3个小玩意的含义和用途。 关键字:公钥、私钥、签名、中间人攻击、重发攻击

非对称加密 & signature

非对称加密是数据加密的一种方法,加密和解密分别使用公钥和私钥两种密钥完成,与对称加密的区别在于,非对称加密加密和解密使用的是不同的密钥,使用其中一个密钥(私钥或公钥)对数据加密后,必须使用另一个密钥才能解密,而对称加密则使用同一个密钥进行加密和解密。它们的示意图如下。

关于公钥、私钥、签名进行通信有一个最经典的解释,当然,如果里面几位主角的英文名让你头大,你也可以看我接下来提供的山寨版,请看下图(以小明为起点): 图片

由此看出,小明和小红发送消息时总是使用对方的公钥加密信息,而使用自己的私钥对收到的信息进行解密。这也就意味着两方通信之前需要互相交换公钥并且藏好自己的私钥,使得即便有人劫持了在网络中传递的密文也无法解密得到信息,因为解密的私钥只有自己知道。但由于公钥是公开的,任何人都能拿到小明的公钥,如果有一个叫老王的人用小明的公钥伪装成小明给小红发信息,还把小红给约出去了,那就悲剧了。为了对信息进行身份标识,就得使用signature(签名)了,首先,小明和小红提前做了如下约定: 图片

如此一来小红只需要比对双方计算的信息摘要是否相等,如果不相等则说明签名使用的不是小明的私钥或者信息摘要被人篡改了。于是将签名加入到他们的通信(以小明为起点):
图片
由于可以保证生成摘要的信息不会被篡改,在接口签名中,摘要可以由请求方法,请求路径,请求参数等等一些不希望被篡改的信息生成,以微信的签名API-V3为例:

signature =  base64(SHA256withRSA("HTTP请求方法\nURL\n请求时间戳\n请求随机串\n请求报文主体\n", privateKey))

至此老王就无法随意伪装成小明了,但这仍然阻挡不了老王。前面提到小明和小红必须交换公钥才能通信,在交换过程中,如果被老王劫持,小明和小红持有的对方的公钥都将会被篡改为老王的,老王就能伪装成小明或小红并与对方通信,这也就是中间人攻击(Man-in-the-MiddleAttack): 图片

为了解决这一问题,小明和小红需要向第三方权威证书发布机构登记自己的公钥,从而获取证书(其中包含公钥),交换公钥也升级为交换证书。当小红收到小明的证书时就可以到第三方权威机构确认其中的公钥是否是小明的。

重发攻击

有了第三方权威证书发布机构的认证,老王就不能肆意伪装自己了,但老王依然表示

于是乎,阴险的老王秀了波操作(此处省略了加密和解密过程):
图片
即,老王虽然不能伪装或者篡改小明和小红的通信信息,但是能窃取并重发他们发出去的信息,造成的破坏也将会是巨大的,比如老实人小明可能要破产。这也就是重发攻击(Replay Attacks)。

使用nonce和timestamp解决重发攻击

这里我们抛开小明等人谈论nonce和timestamp,而以熟知的web应用来举例。首先,客户端请求前生成一个随机数nonce,作为该请求的唯一标识,签名时加入该nonce以保证nonce不被篡改,同时由于签名中加入了随机数nonce,因此相同的请求参数,每次签名得出的结果都不同,保证了签名不可预测,nonce放在header中一起发送给服务端,以便服务端使用该nonce进行验签,并记录起来。后续请求应该判断该nonce是否使用过,若已使用过,则认为是重发攻击,这样就可以避免同一个请求被重发多次。但是,服务器记录的nonce会随着请求次数的增多而增多,客户端生成重复的nonce的概率也会增高,一些正常的请求可能会被误判为重发攻击。此时有必要为nonce设置一个有效期,比如60秒,超过60秒就删除。但是,问题又来了,因为服务器只保留60秒内的nonce,则一个已发送的请求在60秒后又可以重发了。因此还需要加入一个时间戳timestamp参数用于表示请求时间,同样需要加入到签名中以保证timestamp不被篡改,服务器判断请求时间如果在60秒以前,则认为这是一个过时的请求,抛出异常。因此,服务器只需要记录60秒以内的nonce并拒绝60秒以前的请求就可以确保没有请求被重发了。

总结

  1. 信息摘要是从信息中提取的不想被篡改的部分。
  2. 签名是对信息摘要使用私钥进行加密的结果,用于证明信息的发出者。
  3. 加密时加入nonce用于标识一次唯一的加密,防止重发攻击。
  4. 加密时加入nonce可以使加密结果不可预测。
  5. 加密时加入timestamp用以解决nonce随请求次数无限增多的问题。

    最终,小明左手拿着nonce右手拿着timestamp战胜了老王。

转载于:https://my.oschina.net/kalnkaya/blog/3082949

choushuo8617
关注
noncetimestampsignatrue在Http安全协议的作用
xustart7720的博客
12-28 3683
OAuth协议,OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名) Basic认证及其安全问题 Basic认证是一个流程比较简单的协议,整个过程可以分为以下三个步骤: 客户端使用GET方法向服务器请求资源。 服务器返回401响应码和WWW-Authentication:Basic realm=”Family”响应头要求客户端进行身份验证。其re
浅析微信支付:统一下单接口
YClimb的专栏
11-05 1257
本文是【浅析微信支付】系列文章的第五篇,主要讲解如何调用统一下单接口生成预支付单及调起支付页面。 浅析微信支付系列已经更新四篇了哟~,没有看过的朋友们可以看一下哦。 浅析微信支付:微信公众号网页授权 浅析微信支付:开发前的准备 上面是本文的前置文章,有前面几篇文章的基础以后看会更加明了,如果已经看过的小伙伴可以忽略。 1、什么是[统一下单接口]? 首先我们要明白这个问题,需要先行看一下微信的...
java时间戳防重放_API防重放机制
weixin_36253537的博客
02-27 2330
说说API的防重放机制我们在设计接口的时候,最怕一个接口被用户截取用于重放攻击。重放攻击是什么呢?就是把你的请求原封不动地再发送一次,两次...n次,一般正常的请求都会通过验证进入到正常逻辑,如果这个正常逻辑是插入数据库操作,那么一旦插入数据库的语句写的不好,就有可能出现多条重复的数据。一旦是比较慢的查询操作,就可能导致数据库堵住等情况。这里就有一种防重放的机制来做请求验证。timestamp+...
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
asfasfasgjkl的博客
06-27 1245
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
基于timestampnonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
API密钥签名认证详解,包含timestamp+nonce方案BY:Zz Apollo
ch_improve的博客
11-02 2万+
本文举例来说明API签名,并有具体实现流程,规则弄会,一通百通。 本文先用一个故事举例,方便理解,然后对整个流程做了逐步分析和局部代码实现,最后把代码整合起来,想直接看整合后代码的可以直接去最底。 一、故事引入签名认证原理(不要纠结为什么吃饭这么麻烦- -!)         有家饭店,只对会员开放,小明在饭店注册会员...
微信jsapi开发教程之java获取微信timestamp,nonceStr,signature(第三课
飞龙在天
11-11 7415
根据微信的官方文档和案例代码,上述三个参数是必须的,而且上述三个参数都是动态获取的,那么接下来,我们根据微信官方文档,用java代码来实现获取timestamp,nonceStr,signature这三个参数,在这里呢只是一个main方法执行打印并输出,这节课不实现把这三个参数传递到网页并成功调出微信jsapi,下一节课将着重讲解。 Sign代码:
nonce与时间戳
GJ_007的博客
11-11 2308
nonce是为了防止重放攻击产生的。nonce是服务器产生的随机数,当客户端第一次发出请求时,获取nonce,将其与原文一起进行加密,进行发送。服务器使用同样的算法进行加密,与客户端发送过来的密文进行对比,若用户名一样则证明消息的有效性。若发现该nonce在数据库已经存在,则该请求可能为恶意请求。 但是由于nonce是随机产生的,所以可能会存在重复,针对此情况,出现了时间戳。 时间戳是服务器...
互联网医疗服务监管平台数据监管接口规范(Ver1.2).docx
09-20
- **签名规则**: 使用 MD5 算法生成签名签名字符串由请求参数组成,除 `X-Ca-Signature` 外的所有请求头参数均需参与签名过程。 - **请求发送**: 发送 HTTP POST 请求至指定的 URL,内容类型为 `application/json`...
微信 客服消息 发送 微信会回调三次的问题
qq_40106158的博客
08-01 4720
在做微信接口调用的时候,需求是这样的 用户回复“666”—–》给用户发送一段文字,再给用户发送一张图片,,,,因为微信模板消息发送只能给用户发送一条消息,所以只用模板消息发送不行了,看大家用的是 客服消息发送,,所以果断用起,把过程记录一下,间不少坑 1、用 客服消息发送 接口 第一步要先启用 客服消息 接口 ,不启用的话调不通,位置看图片 2、里面的具体接口调用就不说了,我是用...
浅析微信支付:公众平台卡券功能开通、HTML5线上发券(JS-SDK接口)、查看卡券详情
YClimb的专栏
12-04 3306
本文是【浅析微信支付】系列文章的第十六篇,主要讲解如何使用微信公众平台的卡券功能、如何使用HTML5在网页展示用户领券以及微信卡券和商户平台代金券的关系。 前几篇文章主要介绍了如何在【微信商户平台】使用代金券和满减优惠折扣等产品功能,有不少小伙伴说到,【微信公众平台】也有一个卡券功能,那么他们有什么差别呢?这个卡券功能该如何使用?本文会给大家一个解释。 浅析微信支付:商户平台代金券或立减优惠...
阿里云API网关(9)常见问题
weixin_30945039的博客
07-21 8993
网关指南:https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台:https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、如何获取错误信息...
微信认证signature timestamp nonce echostr
weixin_33725722的博客
04-19 1879
2019独角兽企业重金招聘Python工程师标准>>> ...
基于timestampnonce的防重放攻击
Saladbobo的专栏
08-09 1449
基于timestampnonce的防重放攻击   以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发...
noncetimestamp在实际应用(新浪微博登录时传递加密信息)的作用
u011710947的专栏
09-24 2448
这篇文章介绍了利用NonceTimestamp
NonceTimestamp 解决Replay-Attack问题
bravegogo的专栏
03-08 1105
Nonce是由服务器生成的一个随机数,在客户端第一次请求页面时将其发回客户端;客户端拿到这个Nonce,将其与用户密码串联在一起并进行非可逆加密(MD5、SHA1等等),然后将这个加密后的字符串和用户名、Nonce、加密算法名称一起发回服务器;服务器使用接收到的用户名到数据库搜索密码,然后跟客户端使用同样的算法对其进行加密,接着将其与客户端提交上来的加密字符串进行比较,如果两个字符串一致就表示用户
基于timestamp+nonce的会话重放解决方案
weixin_42728957的博客
01-08 2226
基于timestamp+nonce的会话解决方案 timestamp解决黑客抓包重放请求超过60s的情况,超过60s的请求为非法请求。 nonce(Number used once)仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,所以该参数与时间戳有关。我们把每次请求的nonce参数保存在一个集合,可以json格式存储在数据库或缓存,我们每次处理http请求时,首先判断该请求的no...
.Net微信网页开发之JSSDK使用步骤和配置信息timestamp(时间戳),nonceStr(随机串),signature(签名),access_token(接口调用凭据)的生成获取讲解...
dfj66154的博客
07-18 3814
前言:   因为接下来会有几篇关于微信JS-SDK功能使用的文章,主要会对微信分享,获取设备信息,获取地理位置,微信扫一扫这几个功能进行讲解。而这几个功能都是围绕着微信JS-SDK实现的,首先使用微信JS-SDK时我们需要生成对应的配置信息,才能够成功的调用微信JS-SDK。看了下微信官方文档对于accessToken和jsapi_ticket的生成示例代码并没有看到咱们大.Net的...
javanonce,微信开发之java获取微信timestamp,nonceStr,signature方法-微信开发
weixin_29290963的博客
03-21 1357
根据微信的官方文档和案例代码,上述三个参数是必须的,而且上述三个参数都是动态获取的,那么接下来,我们根据微信官方文档,用java代码来实现获取timestamp,nonceStr,signature这三个参数,在这里呢只是一个main方法执行打印并输出,这节课不实现把这三个参数传递到网页并成功调出微信jsapi,下一节课将着重讲解。Sign代码:package com.test.util;imp...
java第三方开放api接口签名
最新发布
07-12
Java使用第三方开放API接口时,通常需要进行签名以确保请求的安全性。下面是一个简单的示例代码,展示如何对请求参数进行签名: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.HashMap; import java.util.Map; import java.util.TreeMap; public class APISignature { public static void main(String[] args) { // 示例参数 Map<String, String> params = new HashMap<>(); params.put("api_key", "YOUR_API_KEY"); params.put("nonce", "1234567890"); params.put("data", "example_data"); String secretKey = "YOUR_SECRET_KEY"; // 生成签名 String signature = generateSignature(params, secretKey); System.out.println("Signature: " + signature); } public static String generateSignature(Map<String, String> params, String secretKey) { // 将参数按照键名进行排序 Map<String, String> sortedParams = new TreeMap<>(params); // 拼接参数键值对 StringBuilder sb = new StringBuilder(); for (Map.Entry<String, String> entry : sortedParams.entrySet()) { sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&"); } sb.append("secret_key=").append(secretKey); // 使用MD5进行签名 try { MessageDigest md = MessageDigest.getInstance("MD5"); byte[] digest = md.digest(sb.toString().getBytes()); StringBuilder signature = new StringBuilder(); for (byte b : digest) { signature.append(String.format("%02x", b & 0xff)); } return signature.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); return null; } } } ``` 在示例代码,`params`是请求参数的键值对,`secretKey`是你与第三方API提供方约定的密钥。`generateSignature`方法会将参数按照键名进行排序,然后使用MD5算法对排序后的参数进行签名签名结果即为最终的签名字符串。请替换示例的`YOUR_API_KEY`和`YOUR_SECRET_KEY`为实际的值,并根据第三方API接口的具体要求调整参数和生成签名的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值