API接口签名规范

最新推荐文章于 2024-07-25 15:39:03 发布
最新推荐文章于 2024-07-25 15:39:03 发布
阅读量5.6k 收藏 7
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hechaojie_com/article/details/84951930
版权

背景:为了增加接口参数安全,对接口参数加盐进行签名校验。

原理:客户端对传送的参数字典排序后,进行md5签名。服务器接收参数后,同理进行参数字典排序后md5签名。若客户端与服务端的签名一致,说明参数未被篡改,校验通过。

请求参数示例:

字段数据类型描述
phone158112341234String手机号
timestamp1538990392850long时间戳
deviceIdmo-231odvepqdString设备id
sign158112341234String接口签名,md5(参数字典排序后加盐)

注:
1.参数排序时,不包括sign参数
2.加盐参数使用desKey,放在参数字典排序后的开头位置
3.遇到数值拼接时,需统一转换成字符串类型。如:123 需转换成 “123”
4.为避免客户端和服务器端签名对null处理不一致,若参数值为null时,请转换成空字符串("")

签名步骤
1.字段字典排序:
deviceId phone timestamp
2.参数拼接:
mo-231odvepqd1581123412341538990392850

3.加盐:
hechaojie.commo-231odvepqd1581123412341538990392850

这里加盐参数为:hechaojie.com,请注意安全存储。

4.md5签名:
21bf08491dbf4013a8e9275f1d603e4a

客户端发送数据示例:

{"phone":"158112341234","sign":"21bf08491dbf4013a8e9275f1d603e4a","deviceId":"mo-231odvepqd","timestamp":1538990392850}

服务器签名工具类示例:

import java.util.ArrayList;
import java.util.Collections;
import java.util.List;
import java.util.Map;
import com.alibaba.fastjson.JSONObject;
import cn.hechaojie.common.core.encryption.MD5;
import cn.hechaojie.common.core.util.Constant;
/**
 * 接口签名工具类
 * @author hecj
 *
 */
public class SignKit {
     
    // 签名字段
    final static String SIGN_FIELD = "sign";
    /**
     * 签名
     * @param signObj
     * @return
     */
    @SuppressWarnings({ "unchecked", "rawtypes" })
    public static String sign(Object obj) {
        if(obj instanceof Map) {
            return MD5.md5crypt(getDictStr((Map)obj));
        }
        if(obj instanceof JSONObject) {
            return MD5.md5crypt(getDictStr((JSONObject)obj));
        }
        throw new RuntimeException("暂时不支持此类型生成签名,"+obj.getClass());
    }
     
    /**
    * JSONObject字段排序拼接
    */
    public static String getDictStr(JSONObject obj) {
        List<String> keys = new ArrayList<String>(obj.keySet());
        keys.remove(SIGN_FIELD);
        Collections.sort(keys);
        StringBuffer str = new StringBuffer(Constant.ApiDesKey);
        for(String key : keys) {
            Object value = obj.get(key);
            if(value == null) {
                value = "";
            }
            str.append(String.valueOf(value));
        }
        return str.toString();
    }
     
    public static String getDictStr(Map<String,Object> obj) {
        List<String> keys = new ArrayList<String>(obj.keySet());
        keys.remove(SIGN_FIELD);
        Collections.sort(keys);
        StringBuffer str = new StringBuffer(Constant.ApiDesKey);
        for(String key : keys) {
            Object value = obj.get(key);
            if(value == null) {
                value = "";
            }
            str.append(String.valueOf(value));
        }
        return str.toString();
    }
}

注:仅供参考,有更好的方案可@我,共同探讨。

何超杰
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9317
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
如何定义简单加签名规范接口
spp_1987的专栏
01-18 281
如何定义规范http接口: 先来查看Controller: package com.song.lamborghini.controller; import com.alibaba.fastjson.JSONObject; import com.song.lamborghini.vo.err.err.BizException; import com.song.lamborghini.vo.reponse.UploadUserResponse; import com.song.lamborghini.vo.
API签名及加密方式详解
最新发布
Explinks的博客
07-25 681
本文将从专业的角度来进行全面解析,从技术角度对API签名方式,加密方式等进行详解。
接口命名示例
求道问术
05-17 7772
方式/GET+POST 参考 分析: 只有GET和POST方式 /业务/模块/唯一操作 参数传递有“链接参数”和“Body参数” 安全性有{access_token} 唯一操作: 创建:create 根据ID删除1个:delete 根据ID列表批量删除:batchdelete 根据ID更新:update 根据ID查找:one 查找所有:all 列表条件查找:list 分页条件查找:page 创建成员 创建成员 - POST - /bin/user/create - 请求参数:{access_toke
python实现RSA加密和签名以及分段加解密
MR的博客
08-24 2411
接口数据使用了RSA加密和签名?一篇文章带你搞定! 1、前言 ​ 很多童鞋在工作中,会遇到一些接口使用RSA加密和签名来处理的请求参数,那么遇到这个问题的时候,第一时间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个时候就会比较尴尬了,看着这一团加解密...
聊聊 API 签名方式
m0_59598029的博客
02-07 286
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
API接口文档格式书写
12-29
编写一份清晰、规范API接口文档是确保开发人员能够正确理解和使用这些接口的关键。以下是关于“API接口文档格式书写”的详细说明: 首先,API接口文档通常包括以下几个部分: 1. **接口名称**:例如这里的XXXX...
api接口技术文档
08-16
API接口技术文档主要涵盖了API接口的基本配置、统一的数据处理规范以及具体实例(部门和人员管理)。本文档将详细解析这些内容,帮助开发人员更好地理解和使用该API。 - **协议**:采用HTTP协议进行通信。 - **请求...
支付宝接口文档规范
10-21
- **method**: API接口名称。 - **auth_token**: 用户授权令牌,对于需要用户授权的接口是必需的。 - **timestamp**: 时间戳,格式为`yyyy-MM-dd HH:mm:ss`。 - **format**: 响应数据的格式,默认为`json`,也支持`...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
GMT0018-2012密码设备应用接口规范
05-18
1. 接口定义:规定了密码设备对外提供的应用编程接口API),包括函数调用、参数定义等,使得开发者可以按照统一的标准进行开发。 2. 安全机制:详细描述了密码设备应具备的安全特性,如数据加密算法支持、密钥...
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
接口测试必备技能 - 加密和签名
软件自动化测试技术交流、资源分享
10-28 1781
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1546
接口加密知识科普
API 接口签名生成及验证
Bug_Curry的博客
10-14 1730
PHP 开发 API 接口签名生成及验证前言一、接口签名是什么?二、设计签名1.满足条件及注意事项2.生成签名参数(sing)签名验证 前言 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的 时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 提示:以下是本篇文章正文内容,下面案例可供参考 一、接口签名是什么? 是为了防止发送的信息被串改,发送方通过将一些字段要素按一定的规则排序后,在转化成json字符串,通过MD5加密机制发送,当接收方接受到请求后需要验证该信
java接口签名(Signature)实现方案
aipiannian6725的博客
09-30 2692
预祝大家国庆节快乐,赶快迎接美丽而快乐的假期吧!!! 前言   在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案java接口签名(Signature)实现方案续。 签...
Android接口签名规则,签名规则
weixin_42172572的博客
05-31 275
签名规则API 调用签名规则¶本文档中所有请求融云服务端 API 接口的请求均使用此规则校验,以下不再重复说明。每次请求 API 接口时,均需要提供 4 个 HTTP Request Header,具体如下:名称类型说明RC-App-KeyString开发者平台分配的 App Key。RC-NonceString随机数,无长度限制。RC-TimestampString时间戳,从 1970 年 1 ...
spring注解
yolly
09-12 589
目录 一、定义 二、作用域 三、解析方式 四、元注解 五、内置注解 5.1@Override 5.2 @Deprecated 5.3 @SuppressWarnings 六、常用注解 6.1 @SpringBootApplication 6.2 @Controller 6.3 @RequestMapping、GetMapping、PostMapping 6.3.1...
接口签名、加解密
weixin_45497242的博客
09-02 1566
接口签名、加解密
百度知道开放API接口规范
"百度知道开放API接口规范文档1.0 最终版" 这篇文档详细介绍了百度知道开放API接口规范,旨在为第三方开发者提供与百度知道服务交互的标准。以下是主要的知识点: 1. **背景**: 百度知道开放API的目的是为了让...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值