API签名认证

已于 2023-12-25 12:51:45 修改
阅读量688 收藏 11
点赞数 4
分类专栏: 开发通用解决方案 文章标签: 安全 web安全 网络 后端
于 2023-09-03 17:14:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/incredible1024/article/details/132652050
版权

目录

介绍

API 签名认证算法是一种用于保证 API 请求的安全性完整性的一种机制,通过在 API 请求中添加签名字段来验证请求发送者的身份,并确保请求在传输过程中没有被篡改。

作用

  1. 身份验证:验证请求发送者的身份是否合法
  2. 防止篡改:防止请求参数在传输过程中被篡改
  3. 防止重放攻击

重放攻击是一种网络安全攻击方式,攻击者会在网络通信过程中,通过截获合法的通信数据包,然后将这些数据包重新发送到目标系统,以欺骗系统进行非法操作或者获取敏感数据。


实现思路

密钥

每个用户都分配有一对密钥 accessKey / secretKey(ak / sk),accessKey 是用户的标识,secretKey 是用于生成签名的密钥。

生成签名

请求参数 拼接 sk 密钥 后,再用 加密算法(如 md5)加密,即得到签名(sign)。

请求参数 + sk 密钥 => 加密算法 => 签名


校验签名(身份验证)

用户生成签名后,将 ak签名 放在请求中一起发送(可放在请求头中)。

服务端接收到请求后,从请求中拿到 请求参数ak签名

根据 ak 去查询用户得到其 sk,用 请求参数、sk 生成签名,用此签名和请求中的签名比较是否相等;若相等,则签名校验通过,请求发送者身份合法;若不相等,则校验失败,身份不合法。

防止篡改

签名是用 请求参数 拼接 sk 密钥 后生成的,请求参数不同,生成的签名也就不同

如果在请求传输过程中,请求参数被篡改,那么服务端拿到被篡改的请求参数后,用其生成的签名与用户发送的签名就会不同(用于生成签名的请求参数不同),则签名校验失败,失败原因是请求参数被篡改。

因此,如果签名校验通过,则说明请求参数没有被篡改

防止重放攻击

每次请求生成一个随机数 nonce(随机数基本不会重复),放入到请求中;服务端会保存每次请求的随机数(可以用 redis 保存)。

具体的校验逻辑是:

判断随机数是否已被保存在服务端。
如果是,则说明请求是重放的,拒绝请求。原因是,如果请求是合法请求重放的,对应的合法请求被服务端接收时,随机数就会被保存;请求被重放,随机数自然判断已存在。
如果不是,则说明是正常请求,保存其随机数。

请求中加个随机数可以防止重放攻击,但是所有请求的随机数都要被保存,必定会占用很多的资源;可以在请求中时间戳 timestamp,这样就可以只保存有效时间范围内的请求的随机数,而不用保存全部。

校验逻辑变为:

先判断时间戳是否在有效时间范围内(如 距当前时间 5 分钟范围内):
如果不是,则拒绝请求;
如果是,则继续后面的逻辑判断。


再判断随机数是否已被保存在服务端:
如果是,则说明请求是重放的,拒绝请求;
如果不是,则说明是正常请求,保存其随机数。

当请求的时间戳不在有效时间范围内后,就可以把对应的时间戳从存储中移除,从而减小存储压力。原因是,时间戳过期后,时间戳判断逻辑那里请求就会被拒绝,下一步随机数判断是走不到的,因此随机数“失去作用”,可以移除。

建议使用 redis 保存随机数,可以将过期时间设置为时间戳的有效时间,这样时间戳过期后,随机数也会自动移除。

完整逻辑

用户发送请求时,需带上以下 4 个字段(可放在请求头中):

  • accessKey 用户标识
  • sign 签名(如何生成见上文)
  • nonce 随机数
  • timestamp 时间戳

服务端校验逻辑:

  1. 先从请求中取得各个字段
  2. 根据 accessKey 查询用户得到 secretKey
  3. 服务端生成签名
  4. 校验签名是否一致
  5. 校验时间戳是否过期
  6. 校验随机数是否存在

如果有帮助的话,可以点个赞支持一下嘛🙏

练川
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
API 签名认证_api签名认证,【金三银四
2401_83977605的博客
04-03 978
用于验证 API 请求的安全机制作用确保只有经过授权的用户或应用程序能访问 API防止未经授权的访问和数据篡改。
API开放平台——API 签名认证学习笔记
m0_68389211的博客
04-23 278
比如,申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保存,尤其是AppSecret更不能暴露在外,以保证安全。当我们需要请求微信进行授权登录的时候,我们需要根据微信的规则拼接请求链接,其中请求链接中会包含AppId,AppSecret等的一些信息,通过按规则拼接好的链接则可以成功请求微信,否则会请求失败。而我们要做的就是根据微信的这个原理,实现自己程序的API接口签名验证。签发签名使用签名(校验签名)为什么需要签名认证
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 2632
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1659
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
API接口签名验证
qq_25046827的博客
03-01 4513
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API签名认证讨论
csy
03-06 217
API签名认证
WebApi Token+ 数字签名认证源码
04-10
代码包括客户端和服务器,前端jquery,后端C#代码。绕过验证与拦截器验证token和数字证书
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
基于Laravel 8.x的API接口签名认证系统.7z
最新发布
05-06
带领同学们认识Laravel用户认证的两大核心要素,守卫者与数据提供者,并从源码层面分析用户认证中涉及到的核心概念,通过基于接口签名认证逻辑,带领同学们实现自定义守卫者以及签名认证器,实现基于签名认证的...
WebApi_Token
08-06
token+签名认证的主要原理是:1.做一个认证服务,提供一个认证webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api 3.服务器端...
js调用阿里云api签名算法
04-09
最近需要调用阿里云视频点播相关接口,在网上没找到js的实现,自己写的,在js中实现了阿里云的公共参数签名算法。用到了第三方的CryptoJS做HmacSHA1加密,下载后,需要把你的阿里云key和密钥填进去
基于Laravel 8.x的API接口签名认证系统
06-30
带领同学们认识Laravel用户认证的两大核心要素,守卫者与数据提供者,并从源码层面分析用户认证中涉及到的核心概念,通过基于接口签名认证逻辑,带领同学们实现自定义守卫者以及签名认证器,实现基于签名认证的...
API接口或H5接口做签名认证
有何不可的博客
07-05 1253
Android对API接口或H5接口进行签名认证,有效防范接口攻击、数据泄露等安全问题。
开发API接口的安全验证:token,参数签名,时间戳
热门推荐
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
java API接口签名授权安全认证问题—基于HMAC的rest api鉴权处理
songkai558919的博客
01-26 2518
创建一个拦截器 public class AkSkAuthInterceptor implements ClientHttpRequestInterceptor { private static final String HEADER_X_CONTENT_MD5 = "X-Content-MD5"; private static final String HEADER_X_VERSION = "X-Sign-Version"; private static final Stri
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值