web服务(openAPI)鉴权的一种实现方法、思路

最新推荐文章于 2024-07-05 16:37:37 发布
最新推荐文章于 2024-07-05 16:37:37 发布
阅读量6.3k 收藏 3
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiyingwang/article/details/49868865
版权

1、服务端生成uuid 
2、根据uuid生成accessKey ak,把uuid,ak手动提供给调用方,ak的生成过程对客户端代码屏蔽。 
3、客户端调用方根据如下方法 生成签名sk,参见SecTest.java: public static String genSignature(String ak,String timestamp,String serviceName);
4、服务调用时 ,提供uuid,ak,timestamp,serviceName,sk 
5、服务端首先比较timestamp:时间差控制在一分钟内算合法请求,再根据uuid,timestamp,serviceName生成签名和客户端生成的sk比较是否一致,不一致则非法请求。

这样调用服务时,

1、客户端请求URL不变的情况下,根据timestamp可以控制请求的有效时间,缩小受攻击的时间范围,

      如果接口有幂等性要求,则只需要添加幂等性控制逻辑即可,避免了重复调用带来的负面影响。

      接口幂等性控制的实现方式有很多,常用方案如下:

      1、引入缓存中间件,针对每次的请求,按照一定算法生成input request key,第一次请求,key存入缓存设定有效期,再次请求,判断缓存中key是否存在,存在则重复请求,拒绝处理,不存在则是第一次请求,算法比如Md5,缓存中间件比如redis都是可以的。

      2、类似第一种方案,采用token机制,幂等性接口调用之前,必须拿到token,并且token只能用一次,token要具有唯一性,此种方案多了一次接口调用,交互流程复杂,通用性不好。

      3、采用db唯一性索引来控制,幂等性关键参数写入一张去重表,成功则接口第一次调用可以继续后续的流程,若db 索引冲突报错,则拒绝。

      4、业务表有状态机控制,业务层面控制幂等性,每次状态变更都需要判断当前状态,若当前状态变更了,重复请求则执行失败。

      5、业务表提供查询接口,每次操作之前先查询最新状态,符合状态则进行后续流程,否则拒绝。
2、url参数改变的情况,客户端生成的sk 不可能与服务端一致,除非能同时看到客户端、服务端的算法代码。
主要参考资料如下:

[云存储中的HTTP鉴权算法分析](http://itindex.net/detail/47960)

[amazon-signature-v4-examples](http://docs.aws.amazon.com/zh_cn/general/latest/gr/signature-v4-examples.html)


示例代码如下:

 
public class SecTest {
    public static void main(String[] args)throws Exception{
        String time = new Date().getTime()+"";
        String uid = UUID.randomUUID().toString();
        String key = "";
        key = genAccessKey(uid);//
        //提供给客户端的uuid,access-key
        System.out.println("access-uuid:"+uid);
        System.out.println("access-key:"+key);
        //客户端自己生成密钥
        String signature = genSignature(key,time,"/service/method/");
        //服务端生成的密钥
        String sec = getSignatureKey(uid,time,"/service/method/");
        System.out.println("secure-key-from-client:"+signature);
        System.out.println("secure-key-from-server:"+sec);
    }

    private static byte[] hmacSHA256(String data, byte[] key) throws Exception  {
        String algorithm="HmacSHA256";
        Mac mac = Mac.getInstance(algorithm);
        mac.init(new SecretKeySpec(key, algorithm));
        return mac.doFinal(data.getBytes("UTF8"));
    }
    /**
     * 服务端生成,不暴漏给客户端
     * @param uid
     * @return
     * @throws Exception
     */
    public static String genAccessKey(String uid)throws Exception{
        return Hex.encodeHexStr(hmacSHA256(uid,("AWS4"+uid).getBytes("UTF8")));
    }

    /**
     * 客户端 生成验证码
     * @param ak
     * @param serviceName
     * @return
     * @throws Exception
     */
    public static String genSignature(String ak,String ts,String serviceName) throws Exception{
        byte[] kDate = Hex.decodeHex(ak.toCharArray());
        byte[] kRegion  = hmacSHA256(ts, kDate);
        byte[] kService = hmacSHA256(serviceName, kRegion);
        byte[] kSigning = hmacSHA256("aws4_request", kService);
        return Hex.encodeHexStr(kSigning,true);
    }

    /***
     * 服务方 产生验证码
     * @param uuid
     * @param serviceName
     * @return
     * @throws Exception
     */
    public static String getSignatureKey(String uuid,String ts,String serviceName) throws Exception  {
        byte[] kSecret  = ("AWS4" + uuid).getBytes("UTF8");
        byte[] kDate    = hmacSHA256(uuid, kSecret);
        byte[] kRegion  = hmacSHA256(ts, kDate);
        byte[] kService = hmacSHA256(serviceName, kRegion);
        byte[] kSigning = hmacSHA256("aws4_request", kService);
        return  Hex.encodeHexStr(kSigning,true);
    }
}
/**
 * reference apache commons <a * href="http://commons.apache.org/codec/">http://commons.apache.org/codec/</a> * 
 * @author Aub *
 */
public class Hex {
    /**
     * 用于建立十六进制字符的输出的小写字符数组
     */
    private static final char[] DIGITS_LOWER = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
    /**
     * 用于建立十六进制字符的输出的大写字符数组
     */
    private static final char[] DIGITS_UPPER = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};

    /**
     * 将字节数组转换为十六进制字符数组 * * @param data * byte[] * @return 十六进制char[]
     */

    public static char[] encodeHex(byte[] data) {
        return encodeHex(data, true);
    }

    /**
     * 将字节数组转换为十六进制字符数组
     * * @param data
     * byte[]
     *
     * @param toLowerCase <code>true</code> 传换成小写格式 , <code>false</code> 传换成大写格式
     * @return 十六进制char[]
     */
    public static char[] encodeHex(byte[] data, boolean toLowerCase) {
        return encodeHex(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);
    }

    /**
     * 将字节数组转换为十六进制字符数组 * * @param data * byte[] * @param toDigits * 用于控制输出的char[]
     *
     * @return 十六进制char[]
     */

    protected static char[] encodeHex(byte[] data, char[] toDigits) {
        int l = data.length;
        char[] out = new char[l << 1];
        // two characters form the hex value.
        for (int i = 0, j = 0; i < l; i++) {
            out[j++] = toDigits[(0xF0 & data[i]) >>> 4];
            out[j++] = toDigits[0x0F & data[i]];
        }
        return out;
    }

    /**
     * 将字节数组转换为十六进制字符串 *
     *
     * @param data * byte[] * @return 十六进制String *
     */
    public static String encodeHexStr(byte[] data) {
        return encodeHexStr(data, true);
    }

    /**
     * 将字节数组转换为十六进制字符串 *
     *
     * @param data * byte[] * @param toLowerCase * <code>true</code> 传换成小写格式 , <code>false</code> 传换成大写格式
     * @return 十六进制String
     */

    public static String encodeHexStr(byte[] data, boolean toLowerCase) {
        return encodeHexStr(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);
    }

    /**
     * 将字节数组转换为十六进制字符串
     *
     * @param data * byte[] * @param toDigits * 用于控制输出的char[]
     * @return 十六进制String
     */
    protected static String encodeHexStr(byte[] data, char[] toDigits) {
        return new String(encodeHex(data, toDigits));
    }

    /**
     * 将十六进制字符数组转换为字节数组 *
     *
     * @param data * 十六进制char[] * @return byte[]
     * @throws RuntimeException * 如果源十六进制字符数组是一个奇怪的长度,将抛出运行时异常
     */
    public static byte[] decodeHex(char[] data) {
        int len = data.length;
        if ((len & 0x01) != 0) {
            throw new RuntimeException("Odd number of characters.");
        }
        byte[] out = new byte[len >> 1]; // two characters form the hex value.
        for (int i = 0, j = 0; j < len; i++) {
            int f = toDigit(data[j], j) << 4;
            j++;
            f = f | toDigit(data[j], j);
            j++;
            out[i] = (byte) (f & 0xFF);
        }
        return out;
    }

    /**
     * 将十六进制字符转换成一个整数 * * @param ch * 十六进制char * @param index * 十六进制字符在字符数组中的位置
     *
     * @return 一个整数 * @throws RuntimeException * 当ch不是一个合法的十六进制字符时,抛出运行时异常
     */

    protected static int toDigit(char ch, int index) {
        int digit = Character.digit(ch, 16);
        if (digit == -1) {
            throw new RuntimeException("Illegal hexadecimal character " + ch + " at index " + index);
        }
        return digit;
    }
}

 

coding-now
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2024年01月 WPF+上位机+工业互联 096-WebApi(minimalApi、AOP、鉴权
时光隧道
09-10 2万+
Web API一种使用HTTP协议,向外部客户端(如浏览器、移动应用、桌面应用等)提供服务的技术,是一种RESTful(Representational State Transfer)架构的Web服务。Web API使用基于标准HTTP的协议,如HTTP请求、HTTP响应、HTTP状态代码、HTTP头和HTTP方法等,来处理请求和返回响应数据。Web API通常用于构建具有动态内容的Web应用程序或Web服务,例如基于客户端-服务器架构的移动应用程序、Web端的单页应用程序和其他类型的Web服务等。
Open API 授权&鉴权机制设计
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-14 289
「万事开头难,视频号500粉直播需要你的助力!你的支持是我前进的动力!」来源:juejin.cn/post/7299736066423930914概述基于 OAuth2 建设 Open API 平台授权机制,通过安全标准的方式授权给外部,保证部门应用数据的安全性。OAuth2 定义了4种授权方式,但目前只需要供客户端在后台调用即可,所以仅考虑凭证式授权方式。设计方案整体流程示意图:下面按照上面提到...
微服务-鉴权
02-25
微服务鉴权介绍(初级入门)。涵盖微服务鉴权介绍及常用方式组合
.Net 8.0 Web API下使用JWT登录和鉴权
最新发布
weixin_51328876的博客
07-05 1120
.Net 8.0 Web API下使用JWT登录和鉴权
Web API接口鉴权方式
人间世
02-28 5987
介绍web API接口的鉴权方式
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 3472
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi
WebAPI权限验证
zhulongxi的博客
12-16 4103
http://www.cnblogs.com/Leo_wl/p/5734716.html
WSO2-OpenAPI使用指引(鉴权、限流、策略、APIAPI产品发布和订阅)
leijmdas的专栏
05-29 1219
理论上,WSO2可以对接微信公众号的OAuth 2.0鉴权,但这需要开发者根据微信公众号的OAuth 2.0实现细节,编写相应的代码来实现集成。每个注册的client都会在服务器获得唯一的客户身份(通常标注为client_id),而客户身份会影响到鉴权的方式,比如授信客户就可以通过password / implicit方式进行鉴权,当然,必须基于TLS。1. **用户同意授权,获取code**:用户访问一个特定URL,同意授权后,微信会重定向到指定的回调URL,并附带一个授权码(code)。
海康威视OpenAPI安全认证库(python3)
09-05
OpenAPI一种开放的、标准的定义Web服务API的规范,它允许开发者通过描述文档理解并调用服务。在这个特定的案例中,海康威视的OpenAPI可能涉及到视频监控设备的控制、视频流的获取、录像回放等功能。 海康威视的...
Spring Cloud Gateway构建的API网关服务 | Spring Cloud 12
gmHappy
03-07 1718
所谓的网关就是指系统的统一入口,它封装了运用程序的内部结构,为客户端提供统一的服务,一些与业务功能无关的公共逻辑可以在这里实现,诸如认证、鉴权、监控、路由转发等。
webapi token验证例子
06-05
webapi token验证例子
使用OpenAPI和Swagger在.NET5中构建文档化的Web API:提供友好的接口定义
OpenAPI一种OpenAPI倡导组织维护的API规范。它允许开发人员使用基于YAML或JSON的文档来描述API的功能、参数、返回值等信息。而Swagger是一个用于设计、构建和文档化Web API的工具集。它能够根据OpenAPI规范自动...
.NET WebAPI 运用JWT鉴权授权
weixin_65987730的博客
09-05 1257
.NET WebAPI 运用JWT鉴权授权
spring cloud gateway开发openApi统一鉴权
hjnjmjkj的博客
01-07 1841
通过spring cloud gateway开发openApi统一鉴权
开放api接口平台鉴权怎么做?
Java后端技术栈
03-24 2495
方式2:拦截器+注解实现
web应用的认证与鉴权
MyySophia的博客
12-27 705
认证解决的就是你是谁的问题,当登录一个web电商平台,当你很high的浏览商品的时候并不需要你的认证,但是当你准备下单的时候就需要你登录。要解决你是谁的问题?主要是你的账户有没有钱:)当你登录之后,接下来最重要的是授权阶段,主要是区分你是不是VIP用户或admin用户。http是无状态的服务,当你首次登录web应用之后,http并不知道。如果服务器或者浏览器没记录下来的话,再次刷新页面可能就需要你重新登录。这显然是不合理的。因此session这个概念出现了。
ecstor openapi接口开发 增加签名验证
daybab8105的博客
10-23 118
1、新建一个app,如果testapi 2、testapi下面有app.xml和service.xml,app.xml就不再说了,在service.xml注册一个service。 <service id="openapi.testapi"> <class>testapi_testapi</class> </s...
浅谈JWT认证(OpenAPI标准解析 - 2)
baijiafan的博客
10-28 1940
JWT认证手段介绍,什么是JWT认证?他和别的认证有什么不同?
使用.net web api 实现调用chatgtp openapi 实现问答系统
05-18
好的,我来为你讲解一下在 .NET Web API 中调用 ChatGTP OpenAPI 实现问答系统。 首先,你需要到 ChatGTP 官网申请账号,并获取 API Key。 然后,你可以使用 .NET HttpClient 类来发送 HTTP 请求到 ChatGTP ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值