api接口不再裸奔——签名认证

最新推荐文章于 2023-06-26 10:01:59 发布
最新推荐文章于 2023-06-26 10:01:59 发布
阅读量1.6k 收藏 3
点赞数 2
分类专栏: 【Java】 # 【工具】 文章标签: api签名 接口加密
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/jiadajing267/article/details/87556121
版权

在第三方调用api接口的时候,可能会存在以下几个问题

  • 请求身份是否合法?
  • 请求参数是否被篡改?
  • 请求是否唯一?

解决上述三个问题分为如下流程

1、合法性,通过请求许可来进行判断

为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)

目前广泛使用token和AccessKey作用一样,都是第三方合法性的认证标示

2、防止被伪造,利用签名来解决

通常的做法利用参数名升序使用键值对+SecretKey+timestamp(后面将为什么要加时间戳)生成字符串sign,然后使用加密算法对sign进行加密(例如MD5),生成唯一的signkey,timestamp两个标示放到http请求的header中

3、请求的是否唯一性,以及时效性

此次也就是时间戳利用之处,为了防止同一个请求被长时间使用,利用时间戳解决使用时间范围区间的问题。利用带时间戳生成的signKey可以保证唯一性,而且通过失效时间范围可以提前阻拦一部分非法请求。如何解决在有效范围时间内请求唯一呢?

可以利用redis的expire,在合法的时间范围中将唯一的signKey存储到redis中,设置过期时间(防止存储内容过大),这样在合法范围时间中利用redis缓存,保证请求唯一一次的使用,可以防止暴力刷机的问题。

代码详情

public class SignHandlerInterceptor extends HandlerInterceptorAdapter implements IResponseWithJson {
    /**
     * 签名超时时长,默认时间为5分钟,ms
     */
    private int expiredTime = 5 * 60 * 1000;

    private String signKey = "sign";

    private static final String TIMESTAMP_KEY = "timestamp";

    private ICacheOperation cacheOperation;

    /**
     * 渠道类型
     */
    private Map<Integer, CheckChannelModel> channelModelMap = new HashMap<>();

    public SignHandlerInterceptor() {
    }

    public SignHandlerInterceptor(String expiredTime, String signKey, ICacheOperation cacheOperation, List<CheckChannelModel> channelModels) {
        if (CollectionUtil.isNotEmpty(channelModels)) {
            Map<Integer, List<CheckChannelModel>> tempMap = channelModels.stream()
                    .distinct()
                    .collect(Collectors.groupingBy(CheckChannelModel::getChannelCode));
            tempMap.forEach((code, checkChannelModels) -> {
                this.channelModelMap.put(code, checkChannelModels.get(0));
            });
        }
        if (!Strings.isNullOrEmpty(signKey)) {
            this.signKey = signKey;
        }
        if (StringUtils.isNumeric(expiredTime)) {
            this.expiredTime = Integer.parseInt(expiredTime);
        }
        this.cacheOperation = cacheOperation;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        TokenUser tokenUser = RequestData.getTokenUser();
        //判断token为空,而且 开启签名认证,并且不存在白名单中
        String channelCode = request.getHeader("channel");
        if (tokenUser == null && CollectionUtil.isNotEmpty(channelModelMap)) {
            if (Strings.isNullOrEmpty(channelCode) || !channelModelMap.keySet().contains(Integer.parseInt(channelCode.trim()))) {
                responseWithJson(request, response, JsonData.error("渠道不合法!"));
                return false;
            } else if (channelModelMap.get(Integer.parseInt(channelCode.trim())).getOnOffSwitch() != 0) {
                return true;
            } else {
                //1、验证签名是否正确
                String timestamp = request.getHeader(TIMESTAMP_KEY);
                String sign = request.getHeader(this.signKey);
                //2、判断时间戳是否符合格式要求
                if (StringUtil.isEmpty(timestamp) || !StringUtil.isNumeric(timestamp)) {
                    responseWithJson(request, response, JsonData.error("请求时间戳不合法!"));
                    return false;
                }
                //3、判断时间戳是否在超时
                long ts = Long.parseLong(timestamp);
                if (System.currentTimeMillis() - ts > expiredTime) {
                    responseWithJson(request, response, JsonData.error("请求过期!"));
                    return false;
                }
                //4、判断签名是否存在
                if (StringUtil.isEmpty(sign)) {
                    log.error("sign签名为空");
                    responseWithJson(request, response, JsonData.error("认证无法通过!"));
                    return false;
                }
                //5、判断签名是否正确
                String secret = channelModelMap.get(Integer.parseInt(channelCode.trim())).getChannelSecret();
                if (!verificationSign(request, secret, timestamp)) {
                    responseWithJson(request, response, JsonData.error("认证无法通过!"));
                    return false;
                }
                //6、判断认证是否被使用过,没有使用过则放入缓存中
                byte[] signs = cacheOperation.get(sign.getBytes());
                if (signs == null || signs.length == 0) {
                    cacheOperation.setnx(sign.getBytes(), expiredTime, "1".getBytes());
                } else {
                    responseWithJson(request, response, JsonData.error("认证已失效!"));
                    return false;
                }
            }
        }
        return true;
    }

    private boolean verificationSign(HttpServletRequest request, String accessSecret, String timestamp) throws IOException {
        Enumeration<?> pNames = request.getParameterNames();
        Map<String, Object> params = new HashMap<>();
        while (pNames.hasMoreElements()) {
            String pName = (String) pNames.nextElement();
            Object pValue = request.getParameter(pName);
            params.put(pName, pValue);
        }
        if (CollectionUtil.isEmpty(params)) {
            BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()));
            String body = IOUtils.read(reader);
            if (StringUtil.isNotEmpty(body)) {
                params.put("body", body);
            }

        }
        String originSign = request.getHeader(signKey);
        String sign = createSign(params, accessSecret, timestamp);
        return sign.equals(originSign);
    }

    private String createSign(Map<String, Object> params, String accessSecret, String timestamp) {
        boolean append = false;
        StringBuilder temp = new StringBuilder();
        if (CollectionUtil.isNotEmpty(params)) {
            Set<String> keysSet = params.keySet();
            Object[] keys = keysSet.toArray();
            Arrays.sort(keys);
            for (Object key : keys) {
                if (!append) {
                    append = true;
                } else {
                    temp.append("&");
                }
                temp.append(key).append("=");
                Object value = params.get(key);
                String valueString = "";
                if (null != value) {
                    valueString = String.valueOf(value);
                }
                temp.append(valueString);
            }
        }
        if (append) {
            temp.append("&");
        }
        temp.append(TIMESTAMP_KEY).append("=").append(timestamp);
        temp.append("&").append(signKey).append("=").append(accessSecret);
        return DigestUtils.md5Hex(temp.toString()).toUpperCase();
    }
}
public interface IResponseWithJson {
    default void responseWithJson(HttpServletRequest request, HttpServletResponse response, Object responseObject) {
        String jsonpCallback = request.getParameter("callback");
        response.setCharacterEncoding("UTF-8");
        PrintWriter out;
        if (Strings.isNullOrEmpty(jsonpCallback)) {
            response.setContentType("application/json; charset=utf-8");
            out = null;

            try {
                out = response.getWriter();
                out.append(JSONObject.toJSONString(responseObject));
            } catch (IOException var18) {
                var18.printStackTrace();
            } finally {
                if (out != null) {
                    out.close();
                }

            }
        } else {
            response.setContentType("text/plain");
            response.setHeader("Pragma", "No-cache");
            response.setHeader("Cache-Control", "no-cache");
            response.setDateHeader("Expires", 0L);
            out = null;

            try {
                out = response.getWriter();
                out.append(jsonpCallback + "(" + JSONObject.toJSONString(responseObject) + ")");
            } catch (IOException var17) {
                var17.printStackTrace();
            } finally {
                if (out != null) {
                    out.close();
                }

            }
        }
    }
}

备注:参考内容如下《开放API接口签名验证,让你的接口从此不再裸奔》

Mandy_i
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
开放 API 接口签名验证,让你的接口从此不再裸奔
芋艿V
09-07 620
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~...
API安全性设计------让你的接口从此不在裸奔
sky1988818的专栏
01-21 1790
背景:在以HTTP为协议的REST API服务中,我们业务核心代码固然重要,但是如何保证api的安全性也是举足轻重的,本文将从一般接口和资源接口两方面进行讲解。   1 资源接口 资源接口,一般采用主动询问授权的方式,例如oauth2.0来保证资源的安全,这类接口注重资源的安全,不涉及复杂的业务代码,在认证和授权的过程中涉及到三方: 1、资源提供方:提供资源的角色,如照片,视频等。 2、...
API接口签名验证
weixin_30872337的博客
08-23 808
系统从外部获取数据时,通常采用API接口调用的方式来实现。请求方和接口提供方之间的通信过程,有这几个问题需要考虑: 请求参数是否被篡改; 请求来源是否合法; 请求是否具有唯一性; 今天跟大家探讨一下主流的通信安全解决方案。 参数签名方式 这种方式是主流。它要求调用方按照约定好的算法生成签名字符串,作为请求的一部分,接口提供方验算签名即可知是否合法。步骤通...
开放API接口签名验证,让你的接口从此不再裸奔.docx
11-14
开放 API 接口签名验证,让你的接口从此不再裸奔 开放 API 接口签名验证是指在开放平台上,对 API 接口进行身份验证和参数签名验证,以确保接口安全和防止篡改参数。该方法使用 AccessKey 和 SecretKey 两者结合,...
拒绝接口裸奔!开放 HTTP API 接口签名验证!.zip
最新发布
12-13
计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,...
Java后台接口裸奔的解决方案
03-19
Spring Security提供了一套完整的访问控制机制,可以轻松实现用户认证、授权以及API的保护。对于接口加密,我们可以配置Spring Security使用HTTPS,并自定义过滤器处理请求签名。对于接口时效性,可以集成JWT库,如...
mini2440-128M开发板裸奔系列——UART接口设计
04-16
在“mini2440-128M开发板裸奔系列”中,UART接口的设计是核心知识点之一,这对于理解和实践嵌入式系统开发至关重要。 mini2440是一款基于Samsung S3C2440处理器的开发板,它拥有128MB的内存,广泛应用于嵌入式系统...
经典裸奔教程——s3c2440
05-04
【标题】:“经典裸奔教程——s3c2440” 在嵌入式系统的世界里,"裸奔"指的是不依赖操作系统,直接在硬件层面上编写程序的技术。本教程聚焦于s3c2440处理器,这是一款由Samsung公司推出的基于ARM920T内核的微处理器...
简单的接口签名认证
Fiang-As-Dre的博客
11-12 663
public void addInterceptors(InterceptorRegistry registry) { //接口签名认证拦截器,该签名认证比较简单,实际项目中可以使用Json Web Token或其他更好的方式替代。 if (!"dev".equals(env)) { //开发环境忽略签名认证 registry.addInterceptor(new Ha...
Java API接口签名认证
wFitting的博客
11-13 4946
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
简记接口签名认证
z_junyu的博客
12-26 350
简记接口签名认证案例说明不做签名存在的问题简单签名解决问题存在问题改进签名解决问题存在问题 案例说明 客户端:client 后台接口api client通过调用api获取用户信息 不做签名 api-url: http://localhost:8080/user?arg1=value1&amp;amp;arg2=value2 存在的问题 请求参数被篡改,会有问题 只要截获api-url,就可以不停的通...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1697
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
API接口或H5接口签名认证
有何不可的博客
07-05 1274
Android对API接口或H5接口进行签名认证,有效防范接口攻击、数据泄露等安全问题。
api接口签名认证的一种方式
anghuob40177的博客
01-04 462
请求方 try { using (var client = new HttpClient()) { StringContent content = new StringContent(strParam);//参数序列化后,放入StringConte...
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
超详细!完整版!基于spring对外开放接口签名认证方案(拦截器方式)
Coldmood的博客
06-26 4843
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。
api签名认证原来如此简单
carrot11223的博客
04-23 755
api签名认证,什么是accessKey,secretKey?这看完你不会我倒立!
电脑裸奔完全手册 精品.docx
10-13
"电脑裸奔完全手册"是一本专门针对那些选择不安装传统杀毒软件和防火墙的用户提供指导的书籍。在当今病毒横行的网络环境中,"裸奔"一词指的是保持系统的最小化配置,仅依赖基础的安全设置来保护电脑。手册分为多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mandy_i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值