HMAC API 接口签名 Message安全验证

已于 2022-05-22 22:19:05 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: java高级 文章标签: 哈希算法 算法
于 2022-05-21 20:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h356363/article/details/124903229
版权

什么是HMAC?

HMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。

为什么需要 API 接口签名?

 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点:

保证请求数据正确
       当请求中的某一个字段的值变化时,原有的签名结果就会发生变化。所以,只要参数发生变化,签名就要发生变化,否则请求将会是一个无效的请求。

保证请求来源合法
       一般情况下,生成签名的算法都会成对出现一个 appKey 和一个 appSecret,根据 appKey 能识别出调用者身份;根据 appSecret 能识别出签名是否合法。

识别接口的时效性
       一般情况下,签名和参数中会包含时间戳,这样服务端就可以验证客户端请求是否在有效时间内,从而避免接口被长时间的重复调用。

API签名可以理解为就是对API的调用进行签名保护。是在进行API调用时,加了一个调用者及其调用行为的指纹信息,以帮助服务端更好的识别用户及其调用行为的合法性。其直接目的归纳为:

(1)明确调用者的身份(确认调用者是谁)

(2)明确调用者的调用行为(确认调用者想要做什么)

图·API签名解决两个问题

而明确调用者的身份和调用行为后,可基于调用者的身份做到包括但不限于以下几点:

A:拒绝非法用户身份者的调用请求

B:拒绝越权使用者的调用请求,保护隐私

C:控制访问者的调用频率,保护服务

D:记录调用者的访问记录,以便追溯

由此可见,API签名的真正目的是:通过明确调用者的身份,以便控制API的访问权限,从而保护数据的安全性

API 接口签名验签实现机制


签名验签流程图

1 客户端向服务端申请 appKey,appSecret ,服务端下发 appKey,appSecret。

2 客户端集成 SDK 产生 sign,将 appKey,请求参数,时间戳,sign发送到服务端,服务端根据请求参数使用 SDK 中的签名规则生成签名来验证sign的合法性,之后返回结果。
 

代码

//签名
public static Map<String, String> generateSign(String appKey, String appSecret, String url, String method) throws NoSuchAlgorithmException, InvalidKeyException {
        Map<String, String> headers = new HashMap<String, String>();
        SimpleDateFormat df = new SimpleDateFormat(DATE_FORMAT_STRING);
        df.setTimeZone(new SimpleTimeZone(0, TIME_ZONE));
        String timestamp = df.format(new Date());
        StringBuilder stringToSign = new StringBuilder();
        stringToSign.append(method.toUpperCase()).append(url).append(timestamp);
        String signature = sign(appSecret, stringToSign.toString());
        headers.put("signature", signature);
        headers.put("appKey", appKey);
        headers.put("timestamp", timestamp);
        return headers;
    }
 
//验证签名
public static String validateSign(String appSecret, String url, String method, String timestamp) throws NoSuchAlgorithmException, InvalidKeyException {
        StringBuilder stringToSign = new StringBuilder();
        stringToSign.append(method.toUpperCase()).append(url).append(timestamp);
        return sign(appSecret, stringToSign.toString());
    }
 
//签名和验签公用方法
private static String sign(String appSecret, String stringToSign)
            throws InvalidKeyException, NoSuchAlgorithmException {
        SecretKeySpec signingKey = new SecretKeySpec(appSecret.getBytes(CHARSET), "HmacSHA1");
        Mac mac = Mac.getInstance(ALGORITHM_HMAC_SHA1);
        mac.init(signingKey);
        byte[] data = mac.doFinal(stringToSign.getBytes(CHARSET));
        return Base64.getEncoder().encodeToString(data);
    }

拼接请求字符串

请求参数主要有:

参数名称

类型

示例值

Version

固定为:20191001

20191001

SecretId

密钥ID

SKIDz8krbsJ5yKBZQpn74WFkmLPx3EXAMPLE

Timestamp

当前时间戳

1569490800

Nonce

随机正整数

3557156860265374221

SignatureMethod

签名方式

HmacSHA256或HmacSHA1

HashedRequestPayload

包体签名字符串

UodgxU3P77iThrEJtsiHi2kjYJmNA2jGEgYNnMD%2FX0s%3D

更多学习资料 请关注微信公众号

个人学习微信公众号

潘多编程
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hmac-signature:HMAC签名示例
05-18
hmac签名 HMAC签名示例 配置go 安装go运行时。 在Mac上,输入: brew install go 在Ubuntu / Debian上,输入: sudo apt-get install golang 设置$GOPATH : export GOPATH=~/GO mkdir -p $GOPATH export PATH=$GOPATH/bin:$PATH 安装 使用go get go get github.com/dcu/hmac-signature 使用git clone git clone https://github.com/dcu/hmac-signature cd hmac-signature go build hmac-signature.go 用法 hmac-signature -key="<a>" -url="<url>" -non
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 1436
springboot服务第三方接口安全签名(Signature)实现方案
深入解析消息认证码(MAC)算法HmacMD5与HmacSHA1
最新发布
码到三十五
03-29 2647
消息认证码(MAC)算法是确保消息完整性和身份验证的重要技术。HmacMD5和HmacSHA1作为两种常见的MAC算法,分别基于MD5和SHA-1哈希函数进行构建。虽然HmacMD5和HmacSHA1在一定程度上提高了消息传输的安全性,但由于MD5和SHA-1自身存在的潜在安全隐患,使得这两种算法在实际应用中可能面临一定的风险。因此,在选择消息认证算法时,应优先考虑使用基于更安全哈希函数的Hmac算法,以确保数据的安全传输。
HMACJAVA实现和应用
【欢迎关注公众号:冬瓜白】
09-15 1589
1、简介:   HMACSHA1是从SHA1哈希函数构造的一种键控哈希算法,被用作HMAC(基于哈希的消息验证代码)。此HMAC进程将密钥与消息数据混合,使用哈希函数对混合结果进行哈希计算,将所得哈希值与该密钥混合,然后再次应用哈希函数。输出的哈希值长度为 160 位。 在发送方和接收方共享机密密钥的前提下,HMAC可用于确定通过不安全信道发送的消息是否已被篡改。发送方计算原始数据的哈希值,并将原始数据和哈希值放在一个消息中同时传送。接收方重新计算所接收消息的哈希值,并检查计算...
hmac:HMAC 签名
05-30
Ey::Hmac 用于执行 HMAC 签名验证的轻量级库和中间件 安装 将此行添加到应用程序的 Gemfile 中: gem 'ey-hmac' 然后执行: $ bundle 或者自己安装: $ gem install ey-hmac 文档 用法 客户端中间件 架子 使用Rack::Client client = Rack :: Client . new do use Ey :: Hmac :: Rack , key_id , key_secret run app end 法拉第 require 'ey-hmac/faraday' connection = Faraday . new do | c | c . use :hmac , key_id , key_secret c . adapter ( :rack , app ) end 服务器 架子
java实现SSO login登录-签名验签(Authorization算法-HMAC-MD5)功能
junior77的专栏
09-14 1626
前段时间,某项目压测,需要验证SSO login功能接口。发现login请求中为了安全,使用了签名验签算法。 于是从开发那要过来算法API ,用java代码实现。方便根据签名验签,生成批量的url信息(保存到参数化文件中),供login接口直接使用。 authorization API局部内容: authorization = 签名+":"+时间戳 签名= Base64(HMAC-MD5(HTTP Method + HTTP Resource + TimeStamp + DATA, Ac...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1607
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
hmac — 加密消息签名验证
Bruce小鬼
02-17 1326
前一个例子使用了 hexdigest() 方法生成可打印的摘要字符串。这个摘要字符串是由 digest() 方法生成的值的不同表现形式而已,这个值可能包括包括不可打印字符,包括 NUL。一些 web 服务(Google checkout, Amazon S3)使用了二进制摘要的 base64 版本而不是 hexdigest。base64 编码的字符串以换行符结尾,当将字符串嵌入到 HTTP 头或者其他敏感的上下文中时,经常需要将这个换行符删除。
java API接口签名授权安全认证问题—基于HMAC的rest api鉴权处理
songkai558919的博客
01-26 2463
创建一个拦截器 public class AkSkAuthInterceptor implements ClientHttpRequestInterceptor { private static final String HEADER_X_CONTENT_MD5 = "X-Content-MD5"; private static final String HEADER_X_VERSION = "X-Sign-Version"; private static final Stri
数字签名----消息验证HMAC
互联网叫兽
01-30 1639
一、概念 HMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 二、为什么不直接使用哈希值来进行校验 每个数据哈希值唯一,数据被伪造篡改后,哈希值改变。 例如: xxxxx?name=hahah&hash=547779D1FBA9B6
hmac:在Go中验证hmac签名
05-11
,Patreon和其他一些团体将在其传出的Webhooks中使用HMAC签名,以便您可以验证Webhook来自预期的发件人。这个怎么运作: HMAC使用对称密钥,发送者/接收者都提前共享。 当要发送消息时,发送方将生成一个哈希-该...
使用HMAC-SHA1签名方法详解
10-27
本篇文章是对使用HMAC-SHA1的签名方法进行了详细的分析介绍,需要的朋友参考下
腾讯云·短信·TC3-HMAC-SHA256API3.0签名V3算法带发送例子
12-30
腾讯云·短信·TC3-HMAC-SHA256API3.0签名V3算法带发送例子
api_auth:用于Rails和HTTP客户端的HMAC身份验证
02-02
gem将在客户端对您的请求进行签名,并在服务器端对该签名进行身份验证。 如果您的服务器资源被实现为Rails ActiveResource,它将与之集成。 它甚至会生成您的客户签署他们的请求所需的秘密密钥。 由于它完全使用...
如何写好一份软件开发设计文档
热门推荐
心猿意码
10-14 1万+
设计文档-也被称作技术规范和实现手册,描述了你如何去解决一个问题,是确保正确完成工作最有用的工具,其目的是迫使你对设计展开缜密的思考,并收集他人的反馈,进而完善你的想法,同时在软件交付和交接的过程中,能让其他人更通俗易懂的了解之前的设计目的和思路 目录: 一、什么是软件开发设计文档 二、为什么要写软件开发设计文档 三、写软件开发设计文档需要注意些什么 四、怎么写好一份开发设计文档 一、什么是软件开发设计文档 设计文档-也被称作技术规范和实现手册....
Redis 存用户信息
心猿意码
06-28 1万+
用session的情况 登录流程 用户输入用户名和密码,传到后台,后台去数据库查询,如果用户名和密码都正确,就会把查询出来的当前用户对象存到session. 用户已经登录成功,访问其他页面,比如查询自己的成绩,那么需要知道登录用户的id才能到数据库成绩表查询, 这个用户id就可以直接通过session获取。 如何拿sesion里面的登录用户对象? HttpServletRequest re...
tcp,http,socket,https,ssl,tls
心猿意码
03-12 3355
SO/OSI七层模型和TCP/IP模型的关系 tcp协议 tcp协议属于传输层协议(UDP也属于传输层协议,但是UDP协议是无状态的)。建立一个TCP连接需要三次握手,断开一个TCP连接需要四次挥手。手机能够使用联网功能,是因为手机底层实现了TCP/IP协议,使用手机终端通过无线网就可以与服务端建立一个tcp连接。TCP协议可以对上层网络提供接口,使上层网络数据的传输建立在“无差别”的网络之上。 http协议 http协议,简称超文本传输协议(Hypertext Transfer Protoco
Shiro 权限管理
心猿意码
06-24 3231
一共5个表 用户表 角色表 权限表 用户角色中间表 角色权限中间表 权限验证 通过角色来判断有没有权限。 比如 if 用户有在用户角色中间表中有经理的角色, 就可以查看工资。这中判断比较笼统。适合比如实现不同的角色登录以后看到不同的菜单。 通过权限标识来判断, 这个就需要查出用户拥有的具体权限。 这个权限控制比较细致。 适合细致的,比如部门公司的管理员,只能修改该部门下的员工资料。 Shi...
java第三方开放api接口签名
07-12
Java中,可以使用以下步骤对第三方开放API接口进行签名: 1. 获取API请求参数。 根据API接口文档,获取需要包含在请求中的参数。这些参数通常包括身份验证参数(如appKey、appSecret等)和业务参数(如请求方法、时间戳、随机数、数据等)。 2. 对参数进行排序。 将获取到的参数按照参数名进行字典排序,可以使用TreeMap或自定义比较器来实现。 3. 拼接参数字符串。 将排序后的参数按照key=value的形式拼接成字符串,不包括特殊字符,如空格、换行等。 4. 生成签名。 将拼接后的参数字符串与密钥(appSecret)进行加密生成签名。常见的加密算法有MD5、SHA1、HMAC等,具体使用哪种算法取决于API接口的要求。 5. 将签名加入请求参数。 将生成的签名添加到请求参数中,一般以sign或signature为参数名。 6. 发送请求。 将包含签名的请求参数发送到API接口地址。 请注意,以上步骤是一种通用的签名方式,具体的签名方法可能会因API接口的要求而有所不同。在使用第三方开放API接口时,建议参考具体的接口文档或开发者指南,以获取准确的签名方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值