使用HMAC(Play 2.0)保护REST服务

最新推荐文章于 2022-11-08 23:28:15 发布
最新推荐文章于 2022-11-08 23:28:15 发布
阅读量290 收藏
点赞数
文章标签: python java 大数据 数据库 http
我们有HTTPS,还需要什么?

当您谈论基于REST的API的安全性时,人们通常会指向HTTPS。 借助HTTPS,您可以使用每个人都熟悉的方法轻松保护您的服务免遭窥视。 但是,当您需要更高级别的安全性或HTTPS不可用时,您需要替代方法。 例如,您可能需要跟踪每个客户对API的使用情况,或者需要确切地知道谁在进行所有这些调用。 您可以将HTTPS与客户端身份验证一起使用,但这将需要设置完整的PKI基础结构以及一种安全的方式来标识您的客户并交换私钥。 与基于SOAP的WS-Security服务相比,我们没有可用于REST的标准。

解决此问题的常用方法(Microsoft,Amazon,Google和Yahoo采用此方法)是通过基于客户端与服务之间的共享机密对消息进行签名。 请注意,使用这种方法,我们仅对数据进行签名,而不对数据进行加密。 在这种情况下,我们所讨论的签名通常称为基于哈希的消息认证代码(简称HMAC)。 使用HMAC,我们根据已交换的密钥为请求创建消息认证码(MAC)。

在本文中,我将向您展示如何为基于Play 2.0的REST服务实现此算法。 如果您使用其他技术,则步骤将几乎相同。

HMAC方案

对于客户端,我将仅使用基于HTTPClient的简单应用程序。 要实现这一点,我们必须采取以下步骤:

  1. 首先,我们需要与外部客户端交换共享机密。 通常,这是由API提供程序使用电子邮件发送给客户端的,或者提供程序具有一个您可以在其中查找共享密钥的网站。 请注意,此机密仅在您和服务之间共享,每个客户端将具有不同的共享机密。 这不是像公用密钥那样共享的东西,
  2. 为了确保客户端和服务在同一内容上计算签名,我们需要对要签名的请求进行规范化。 如果我们不这样做,则服务器可能会以与客户端不同的方式解释空格,并得出签名无效的结论。
  3. 基于此规范化消息,客户端使用共享机密创建HMAC值。
  4. 现在,客户端已准备好将请求发送到服务。 他将HMAC值添加到标头中,还将一些内容标识为用户。 例如,用户名或其他公共值。
  5. 当服务收到请求时,它将从标头中提取用户名和HMAC值。
  6. 根据用户名,服务知道应该使用哪个共享密钥对消息进行签名。 例如,该服务将从某处的数据存储中检索此信息。
  7. 现在,服务以与客户端相同的方式对请求进行规范化,并为其自身计算HMAC值。
  8. 如果来自客户端的HMAC与从服务器计算出的HMAC相匹配,则您将知道消息的完整性得到保证,并且客户端就是他所说的身份。 如果提供了错误的用户名,或者使用了错误的机密来计算标题,则HMAC值将不匹配。

要实现HMAC,我们需要做什么? 在以下部分中,我们将研究以下主题。

  • 确定用于输入的字段。
  • 创建可以计算此HMAC的客户端代码并添加相应的标头
  • 创建基于Play 2.0的拦截器来检查HMAC标头

确定输入字段

我们要做的第一件事是确定HMAC计算的输入。 下表描述了我们将包括的元素:

领域 描述
HTTP方法 使用REST,我们执行的HTTP方法定义了服务器端的行为。 对特定URL的删除与对该URL的GET处理不同。
内容MD5 此HTTP标头是标准HTTP标头。 这是请求正文的MD5哈希。 如果我们将此标头包含在HMAC代码生成中,则会获得一个HMAC值,该值会随着请求正文的更改而更改。
Content-Type标头 进行REST调用时,Content-Type标头是重要的标头。 服务器可以根据媒体类型对请求做出不同的响应,因此应将其包含在HMAC中。
日期标题 我们还包括创建请求以计算HMAC的日期。 在服务器端,我们可以确保日期在传输中没有更改。 除此之外,我们可以在服务器上添加消息过期功能。
路径 由于URI标识REST中的资源,因此调用的URL的路径部分也用于HMAC计算。

我们将包括的几乎是来自请求的以下信息: 

PUT /example/resource/1
Content-Md5: uf+Fg2jkrCZgzDcznsdwLg==
Content-Type: text/plain; charset=UTF-8
Date: Tue, 26 Apr 2011 19:59:03 CEST

可用于创建HMAC签名的客户端代码

在下面,您可以看到我们用来调用受HMAC保护的服务的客户端代码。 这只是一个基于HTTPClient的快速客户端,我们可以使用它来测试我们的服务。 

public class HMACClient {
 
 private final static String DATE_FORMAT = "EEE, d MMM yyyy HH:mm:ss z";
 private final static String HMAC_SHA1_ALGORITHM = "HmacSHA1";
 
 private final static String SECRET = "secretsecret";
 private final static String USERNAME = "jos";
 
 private static final Logger LOG = LoggerFactory.getLogger(HMACClient.class);
 
 public static void main(String[] args) throws HttpException, IOException, NoSuchAlgorithmException {
  HMACClient client = new HMACClient();
  client.makeHTTPCallUsingHMAC(USERNAME);
 }
 
 public void makeHTTPCallUsingHMAC(String username) throws HttpExcept
最低0.47元/天 解锁文章
dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hmac-headers:Scala实用程序,用于签名和验证在HTTP标头中传递的HMAC签名
05-19
介绍 hmac-headers是一个Scala实用程序,用于签名和验证在HTTP请求的标头中传递的HMAC签名。 给定客户端和服务器之间共享的密钥,hmac-header可以执行以下操作: 在客户端,创建两个字符串,这些字符串可以作为请求的一部分放在适当的标头(通常为Date和Authorization标头)中: 日期,格式如下:1994年11月6日,星期日,格林尼治标准时间(参见 ) Base64编码的HMAC使用URI,日期和机密进行签名 在服务器端,请验证接收的标头是否有效。 给定日期字符串和HMAC哈希,它将检查以下内容: 哈希是使用相同的秘密计算的 该日期在允许的时间范围内(以避免重播攻击) 用法 在您的build.sbt中: libraryDependencies += "com.gu" %% "hmac-headers" % "1.0" 验证请求 import
hmac hmac.new_使用HMACPlay 2.0保护REST服务
最佳 Java 编程
05-31 1203
hmac hmac.new 我们有HTTPS,还需要什么? 当您谈论基于REST的API的安全性时,人们通常会指向HTTPS。 借助HTTPS,您可以使用每个人都熟悉的方法轻松保护您的服务免遭窥视。 但是,当您需要更高级别的安全性或HTTPS不可用时,您需要替代方法。 例如,您可能需要跟踪每个客户对API的使用,或者需要确切地知道谁在进行所有这些调用。 您可以将HTTPS与客户端身份验证一起...
HMAC概念简介
万物皆字节
10-29 8644
摘自百度文库 由H.Krawezyk,M.Bellare,R.Canetti于1996年提出的一种基于Hash函数和密钥进行消息认证的方法,它可以与任何迭代散列函数捆绑使用HMAC运算利用hash算法,以一个消息M和一个密钥K作为输入,生成一个定长的消息摘要作为输出。HMAC算法利用已有的Hash函数,关键问题是如何使用密钥。 HMAC的密钥长度可以是任意大小,如果小于n(hash输出值...
细说API – 认证、授权和凭证
qq_35789269的博客
08-23 1119
认证、授权和凭证
Python 和 PHP 对腾讯云签名 hmac_sha256 算法实现
阳光岛主
05-08 1万+
开宗明义,米扑科技在使用腾讯云的API接口签名中,按照官方示例开发PHP、Python的接口,经常会提示签名错误123456789{  "Response": {    "Error": {      "Code": "InvalidParameter.SignatureFailure",      "Message": "The provided credentials could not be.
Django rest framework jwt的使用方法详解
09-18
JWT 是一种安全的、无状态的、令牌化的身份验证方式,它允许服务提供商在客户端和服务器之间传递经过签名的信息,确保数据的完整性和安全性。 JWT 由三个部分组成: 1. Header:通常包含两部分,JWT 类型(`typ`,...
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
"Spring Boot使用JWT和Spring Security保护REST API" Spring Boot中的REST API保护是非常重要的,因为直接暴露API可能会带来很大的风险。因此,本文将介绍使用JWT(Json Web Token)和Spring Security来保护REST ...
使用HMAC-SHA1签名方法详解
10-27
本篇文章是对使用HMAC-SHA1的签名方法进行了详细的分析介绍,需要的朋友参考下
Python hmac模块使用实例解析
09-18
以下是一些使用`hmac`模块的实例: 1. **HMAC-MD5消息签名** 在这个例子中,`hmac`模块默认使用MD5散列函数。首先,我们创建一个`hmac`对象,使用`secret-shared-key`作为密钥。然后,我们打开一个名为`content....
spring-hmac-rest:RESTful Web服务示例的Spring HMAC身份验证过滤器
04-27
RESTfull Web服务示例的Spring HMAC身份验证过滤器。 客户端向服务器发送以下http请求: POST /api/echo HTTP/1.1 Accept: application/json, application/*+json Content-Type: application/json Date: Thu, 29 ...
java 实现HMAC-SHA1加密算法
wocaishiryr的博客
04-08 2479
private static final String HMAC_SHA1_ALGORITHM = "HmacSHA1"; private static String toHexString(byte[] bytes) { Formatter formatter = new Formatter(); for (byte b : bytes) { formatter.format("%02x", b); } ...
BA(Basic authentication)认证实践
一不小心吃太撑了
03-30 3168
1、概念介绍 Basic authentication:是一种最简单的对Web资源进行访问控制的方法,属应用层的安全保障手段。常用的签名算法有:base64、HmacSHA1 1)优点:简单 服务器无需维护session、cookie,方便curl测试。 甚至可以不用登陆界面 使用HTTP header中的标准字段,所以也不需要握手 2)缺点:如果只采用通过base64这种签名算法进行传输是不行的,因为很容易就被解码。所以为了保证BA的安全,要通过私钥定制签名算法 2、BA认证的过程 案例
REST和认证 HMAC
dodomail的专栏
12-09 295
REST和认证 我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑,就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API,然后服务器返回一个session ID,后续的操作客户端都必须带上这个session ID,但是这样的,服务就变成了有状态了,不...
Java 实现HMAC算法
最新发布
xinyu10001的博客
11-08 1450
Hash-based Message Authentication Code (HMAC) ,基于单向散列函数的消息验证码,是一种用来保证数据完整性的密码学方法。在消息传递中,接收方收到发送方发送的消息,需要确保收到的消息不会被篡改,也就是需要验证消息。HMAC就是常用的一种解决方案。HMAC算法由散列函数和对称密钥构成。对称密钥是消息的发送方和接收方预先商量好并共同持有的。
Hash(不需要key), MAC(带key),HMAC(带key)说明
热门推荐
认知 行动 坚持
01-20 2万+
转载地址:https://www.cnblogs.com/jhj117/p/5945866.html Hash 是一种从任何一种数据中创建小的数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。 如果两个散列值是不相同的(根据同一函数),那么这两个散列值的原始输入也是不相同的。 这个特性是散列函数具有确定性的结果,具有这
HTTP协议头——Content-MD5
Oshyn —— 乐而学,学而乐
06-30 1万+
以下为RFC1864的英文主要部分原文:1. IntroductionDespite all of the mechanisms provided by MIME [1] which attempt to protect data from being damaged in the course of email transport, it is still desirable to have
Http Header里的Content-Type
qq_38572383的博客
09-14 705
https://www.cnblogs.com/52fhy/p/5436673.html
post 防篡改_WebAPI 用户认证防篡改实现HMAC(一)MD5签名获取
weixin_35745051的博客
01-17 246
原文:http://blog.csdn.net/starfd/article/details/43487587在开始前先说下HMAC防篡改机制的原理,如果已经接触过支付宝的可以跳过此部分防篡改,顾名思义就是防止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时...
商用密码应用安全性评估----技术层面实现
qq_41619455的博客
08-14 2777
商用密码安全性评估
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值