API:Sign签名的执行流程

最新推荐文章于 2022-10-26 20:53:12 发布
最新推荐文章于 2022-10-26 20:53:12 发布
阅读量207 收藏
点赞数
文章标签: 密码学
原文链接:http://www.cnblogs.com/finalanddistance/p/9672945.html
版权

  Sign签名存在目的:为了防止不法分子修改参数数据,进而攻击服务器,导致数据泄露或从中获得利益

            例如:一个接口是用户把积分转帐给他的朋友,修改后,变为转帐到攻击者的帐户,这样,攻击者就能得到利益啦

 

 

  Sign执行流程:

  客户端:当客户请求服务器前,会定义请求参数,通过这些参数,会生成一个Sign签名,生成签名之后,和参数一起放进请求头里,传给服务器;

  服务器:接收到传过来的请求数据,先通过传来的参数,生成相应的Sign签名,之后与客户端传来的Sign签名进行一个比对(因为两者的参数一致,调用的生成签名函数一致,那么最后的Sign也会一致),

      如果两个Sign签名一致。通过验证允许访问服务器数据,否则禁止访问。

 

  签名的参数里面,需要包含 channel_secret !!

  原因:

  如果没有加上channel_secret ,攻击者只要知道 签名生成函数 ,就可以不被服务器发现之下修改数据;

  1. 因为 SDK是公开给 客户端开发者下载的,所以签名生成函数 很容易就能被攻击者知道。    

  2. 如果一个安全措施里面,生成函数需要保密才能安全,在现代密码学的理解来说,这个安全措施并不够安全。

    加上channel_secret 后,攻击者不但要知道 签名生成函数,还需要知道channel_secret,才能够修改数据。这样数据就安全了。

 

  什么是channel_secret :

  channel_secret 就是每个 channel 也拥有的一个 key,

  一般在客户端申请一个新的 channel 时,服务器新增 channel 后生成 channel_secret,没有意外情况下(例如 开发者丢失了 channel_secret ),就只会生成一次并且没有时间有效期,然后告诉客户端;

  而key 是 密码学中 不能被公开、被攻击者知道的东西。而只要key 不被知道,即使其他代码被人知道,系统仍能安全;

 

 

 

  以上

  END

转载于:https://www.cnblogs.com/finalanddistance/p/9672945.html

dibeifang3745
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
还在手动对参数进行签名校验?太落后了吧
Java圈全能架构师的博客
11-05 444
有做过开放平台的同学肯定知道,对外的 API 都要做签名校验,防止重放等来保证安全性。既然是统一地校验,那就没必要让每个开发接口的同学都去手动的进行校验,这个时候我们需要统一进行签名的校验和重放的校验。 今天给大家推荐一个 API 校验的框架,通过注解和切面的方式自动进行签名校验,并且支持自定义算法,使用简单,我强调一下,大家如果要用于自己的项目中,可以下载源码稍微改造下,因为我觉得还有些地方没有处理好,当然大家可以借鉴这个项目的思路,还是不错的。 集成框架 可以直接使用作者已经上传了的 jar 包,
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 4816
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
java API接口签名授权安全认证问题
xulong5000的专栏
08-31 1744
1:使用开源的jar包 API-Signed: 一个轻松实现API签名校验的库。 (gitee.com) 本地下载源码:E:\JavaCode\java-API签名校验 2:该jar 包操作说明 本仓库包含以下内容: 签名校验的源码 基于Spring boot的web示例 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。 该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。 同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。
api接口安全--签名(sign)与登录(token)验证
weixin_38056904的博客
06-19 1万+
前言 1.在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开...
淘宝API生在sign签名
07-30
下面我们将详细探讨“淘宝API生在sign签名”的相关知识点。 首先,`getsign`函数是用于生成签名的,其参数包括`paramlist`和`secretCode`。`paramlist`通常是一个包含所有API请求参数的字符串列表,这些参数按照...
fuiou:富友API
03-31
富友API的调用流程通常包括以下几个步骤: 1. 构造请求参数:根据API文档,准备所需的请求参数,如商户订单号、金额、商品描述等。 2. 计算签名:使用商户ID、API密钥和请求参数按照指定算法生成签名。 3. 发起请求...
CodeSignKit:用于对可执行文件和正在运行的程序进行代码签名的Swift框架
02-16
总之,CodeSignKit通过提供一套易于使用的Swift API,简化了代码签名这个复杂的过程,使得开发者能够更加专注于他们的核心业务逻辑,而不必担心签名的细节。无论您是个人开发者还是大型团队,都将从这个框架中受益,...
纯Java实现数字证书生成签名的简单实例
09-01
3. **签名算法**:`Signature`类用于执行数字签名操作。通过`Signature.getInstance()`获取一个签名实例,指定签名算法(如SHA256withRSA)。签名过程涉及使用私钥对证书信息进行哈希并加密,以证明证书内容未被篡改...
samlsigtest:演示SAML响应解码和XML签名验证的简单项目
06-24
这个项目可能是为了帮助开发者理解和实现SAML认证流程中的关键步骤,尤其是涉及到XML签名安全机制的部分。 【描述分析】 描述中的“samsigtest”与标题相呼应,进一步确认这是一个用于教学或测试目的的项目。"演示...
开发API签名接口样例
12-31
工行在线支付接口开发样例,提供多种语言开发样例,及安装组件和方法
信手书签名js插件
09-30
信手书签名及批注HTML5前端JS插件样例及PDF文档,开发代码记录
api - API接口签名和授权的过程 auth
cainiao1923的博客
10-10 3823
授权的原理: 对于WEB页面来说, 需要 “用户名” + "密码" 对于API来说, 就是需要 "公钥" + “私钥” ( 关键在这) 用户名 = 公钥 , 密码 = 私钥 至于把 用户名( 例如 jim@starcraft.com) 换成 公钥(例如 a1b2c3d4 ) 的原因, 可能就是不希望被人网络抓包的时候,知道 当前的连接,对应的是哪个用户名 当前连接: api.coiex.i...
浅谈URL参数的sign签名认证
qq_15901351的博客
05-03 4万+
以下内容是参考别人的博客内容整理,如有不足之处,敬请指正。。。 大家先思考一个问题: 你在写开放的API接口时是如何保证数据的安全性的? 先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 1. 请求来源(身份)是否合法? 2. 请求参数被篡改? 3. 请求的唯一性(不可复制)...
Api接口Sign签名和验签
weixin_42180332的博客
06-16 3380
采用Sign =MD5(app_id , app_secret+timestamp) 验签校验 请求必带参数 version+app_id+timestamp+sign 前端请求为Json体 package com.hero.common.utils.signature; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.ServletRequest; im
soul软件的简单分析
Daisy-Tansha的博客
12-04 1万+
       看完了《人人都是产品经理》第一章 提出产品经理要求第一点就是好奇心 可我向来没有 对新鲜的事都不感兴趣 也不想下载了解新软件 但是我要培养自己的好奇心啊,于是下载了微博和知乎上天天打广告的交友软件“soul” 而该软件的推广就是“给孤独的你一个灵魂契合的星球” 文邹邹的但我觉得有些许矫情。这是对推广感到有些不太满意的点,但只是对我而言,我想着是因为我不是该软件的目标用户,只有目标用户...
系统鉴权流程及签名生成规则
weixin_33948416的博客
11-30 1291
2019独角兽企业重金招聘Python工程师标准>>> ...
API接口签名生成算法和签名验证算法
举世武双的博客
01-05 1万+
1、参考网上资料和书本资料,实现了API接口签名生成算法和签名验证算法。 (1)参考资料:https://www.jianshu.com/p/d47da77b6419 (2)参考书籍:高级软件架构师教程(311-312)   2、API接口签名生成算法 主要步骤如下: (1)将所有业务请求参数按字母先后顺序排序。 (2)参数名称和参数值链接成一个字符串A。 (3)在字符串A的首尾加...
"msg": "签名验证失败!"
最新发布
09-14
生成签名的依据是通过获取请求参数中的SIGN_KEY对应的值[3]。 如果签名验证失败,可能是由于以下几个原因: 1. 访问密钥(accessKey)或访问密钥(accessSecret)有误:签名验证的过程中需要使用正确的访问密钥和访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值