JAVA 使用摘要签名认证方式调用阿里网关API

已于 2023-01-12 19:01:24 修改
阅读量1.1k 收藏 4
点赞数
文章标签: 安全 java
于 2023-01-12 15:18:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1145374720/article/details/128659075
版权

场景:老板突然一个需求发到我,需要将分销商的扫码内容解码获取到真实的商品条码(由于分销商使用了阿里的数据转换API服务,所以要解码)

一、调用阿里API的方式文档地址

1.使用简单认证(AppCode)方式调用API

2.使用SDK调用API

3.使用摘要签名认证方式调用API(本篇主要讲这个方式)

二、生成签名

1.准备API的 AppKey、AppSecret

2.客户端生成签名一共分三步处理:

2.1.从下面7个字段构成整个签名串,字段之间使用\n间隔换行,如果Headers为空,则不需要加\n,其他字段如果传空则必须要保留\n(关键点)

HTTPMethod
Accept
Content-MD5
Content-Type
Date
Headers
PathAndParameters
  • HTTPMethod:HTTP的方法,全部大写,比如POST
  •  Accept:请求中的Accept头的值,可为空,可传 
    application/json; charset=utf-8
  • Content-MD5:请求中的Content-MD5头的值,可为空
  • Content-Type:请求中的Content-Type头的值,可为空,可传 
    application/x-www-form-urlencoded; charset=UTF-8
  • Date:请求中的Date头的值,可为空
  • Headers:用户可以选取指定的header参与签名,关于header的签名串拼接方式有以下规则:参与签名计算的Header的Key按照字典排序后使用如下方式拼接: 
    HeaderKey1 + ":" + HeaderValue1 + "\n" +
HeaderKey2 + ":" + HeaderValue2 + "\n" +
...
HeaderKeyN + ":" + HeaderValueN + "\n"

       某个Header的Value为空,则使用HeaderKey+":"+"\n"参与签名,需要保留Key和英文冒号

       所有参与签名的Header的Key的集合使用英文逗号分割放到Key为X-Ca-Signature-Headers的  Header中

以下Header不参与Header签名计算:X-Ca-Signature、X-Ca-Signature-Headers、Accept、Content-MD5、Content-Type、Date;

  • PathAndParameters这个字段包含Path,Query和Form中的所有参数,具体组织形式如下:
Path + "?" + Key1 + "=" + Value1 + "&" + Key2 + "=" + Value2 + ... "&" + KeyN + "=" + ValueN

Query和Form参数对的Key按照字典排序后使用上面的方式拼接;

Query和Form参数为空时,则直接使用Path,不需要添加?;

参数的Value为空时只保留Key参与签名,等号不需要再加入签名;

Query和Form存在数组参数时(key相同,value不同的参数) ,取第一个Value参与签名计算。

2.2.使用HmacSHA256加密算法加AppSecret 对签名字符串进行加密处理,得到签名

3.将签名字符串所相关的所有头加入到原始HTTP请求中,得到最终HTTP请求

三、不废话 上代码

1.准备工作

//阿里API AppKey
    public final static String appKey = "xxxxx";
    //阿里API AppSecret
    public final static String appSecret = "xxxxxxxxx";
    //请求参数
    public final static String queryParams = "xxxxxxx";
    //阿里API
    public final static String ALiBaBaApi = "https://api.ailend.top/api/v1x/xxxxx/xxxxxx?x="+queryParams;
    //签名串的7个字段
    public final static String HTTPMethod = "POST";
    public final static String Accept = "application/json; charset=utf-8";
    public final static String Content_MD5 = "";
    public final static String Content_Type = "application/x-www-form-urlencoded; charset=UTF-8";
    public final static String Date = "";
    public final static String Headers = "X-Ca-Key:%s" +"\n"+
                                        "X-Ca-Nonce:%s"  +"\n"+
                                        "X-Ca-Signature-Method:HmacSHA256" +"\n"+
                                        "X-Ca-Timestamp:%s";
    public static String PathAndParameters = "";

2.组装签名串

/*
     * 组装签名串
     * @params uuid 随机数
     * @params url 请求的阿里API
     * @params timestamp 时间戳
     * */
    public static String packageSignStr(String uuid,String url,long timestamp){
        URL parseUrl = URLUtil.url(url);
        PathAndParameters = parseUrl.getPath()+"?"+parseUrl.getQuery();
        String temp = HTTPMethod +"\n"+
                    Accept +"\n"+
                    Content_MD5 +"\n"+
                    Content_Type +"\n"+
                    Date +"\n"+
                    Headers +"\n"+
                    PathAndParameters;
        return String.format(temp,appKey, uuid, timestamp);
    }

3.生成签名的方法

/*
    * 生成加密签名
    * @params content 组装好的签名串
    * @params appSecret 密钥
    * */
    private static String getSHA256StrJava(String content, String appSecret) throws Exception {
        Mac mac = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(StrUtil.bytes(appSecret, CharsetUtil.UTF_8), "HmacSHA256");
        mac.init(secret_key);
        byte[] binaryData = mac.doFinal(StrUtil.bytes(content, CharsetUtil.UTF_8));
        return Base64.getEncoder().encodeToString(binaryData);
    }

 4.调用生成

String uuid = UUID.randomUUID().toString();
long l = System.currentTimeMillis();
//生成签名
String sign = getSHA256StrJava(packageSignStr(uuid, ALiBaBaApi,l),appSecret);
//请求头加入签名
String body = HttpUtil.createPost(ALiBaBaApi)
                .header("Accept", "application/json; charset=utf-8")
                .header("Content-MD5", "")
                .header("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8")
                .header("Date", "")
                .header("X-Ca-Key", appKey)
                .header("X-Ca-Nonce", uuid)
                .header("X-Ca-Signature-Method", "HmacSHA256")
                .header("X-Ca-Timestamp", String.valueOf(l))
                .header("X-Ca-Signature-Headers", "X-Ca-Key,X-Ca-Nonce,X-Ca-Signature-Method,X-Ca-Timestamp")
                .header("X-Ca-Signature", sign)
                .execute().body();
System.out.println("requestRes : "+body);

四、签名排错

当签名不匹配时网关会通过 HTTP Response Header 中的 X-Ca-Error-Messaqe 返回服务端参与签名计算的 StringToSign.

我们只需要打印出 packageSignStr() 方法生成的签名串 ,然后与响应头中的 X-Ca-Error-Messaqe 中值进行比对即可,找出哪里不同,针对性解决就OK了,多一个字符、少一个字符、多一个换行、少一个换行都会返回签名无效,注意:响应头中的#为换行符\n

如果服务端与客户端的StringToSign一致请检查用于签名计算的APP Secret是否正确。

l1145374720
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 摘要认证实现_摘要认证
weixin_36211712的博客
02-13 1859
摘要认证(digest authentication)摘要认证(Digest authentication)用来提供比基础认证更高级别的安全。在RFC2617中有关于它的描述,摘要认证是一种基于挑战-应答模式的认证模型。摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证...
js调用阿里云api签名算法
04-09
最近需要调用阿里云视频点播相关接口,在网上没找到js的实现,自己写的,在js中实现了阿里云的公共参数签名算法。用到了第三方的CryptoJS做HmacSHA1加密,下载后,需要把你的阿里云key和密钥填进去
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
一火的专栏
12-04 6319
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
浏览器-基本认证(Basic Authentication)-摘要认证(digest authentication)=spring boot实现demo
privateobject的博客
10-09 2591
> 平时开发的 java web 网站登录,都是通过表单提交登录信息。有时一些中间件登录是浏览器弹窗,没有看到表单实现代码。故通过查询,发现两种 HTTP 简单认证: 基本认证( Basic Authentication )、摘要认证( digest authentication )等,本次通过 java实现 spring boot 基本和摘要认证
使用Java代码请求阿里云网关接口
qq_36811160的博客
12-29 810
1、调用 public class Demo4 { public static void main(String[] args) { for (int i = 0; i <= 20; i++) { String host = "http://xxx-cn-hangzhou-vpc.alicloudapi.com"; String path = "/datahome/xxx/xxx"; String meth
java接口签名(Signature)实现方案续
热门推荐
胡峻峥的博客
12-26 1万+
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案 )收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对不同的调用...
阿里云API网关调用事例源码
08-11
阿里云API网关调用事例源码 sign加密算法
阿里公有云、专有云ASAPI网关方式通用调用java示例
09-30
阿里公有云、专有云ASAPI网关方式通用调用java示例
调用阿里云APIjava(异步实现)DDNS
最新发布
03-22
公网IP动态绑定阿里云云解析DNS服务。这里的域名是在阿里云购买。用java代码实现了UPDATE,这里是java源代码。‘增删改查’记录,‘改查’实现了目前增有得完善代码,删没删除...这是API接口分析和API调用KEY获取的文章
浅谈java调用Restful API接口方式
08-28
Java调用Restful API接口Java开发中非常重要的一部分,了解Java调用Restful API接口方式可以帮助开发者更好地理解和使用相关技术。本文将详细介绍Java调用Restful API接口方式,包括使用HttpURLConnection、...
Java“牵手”阿里巴巴商品详情数据,阿里巴巴商品详情API接口阿里巴巴国际站API接口申请指南
weixin_19970108018的博客
09-05 187
阿里巴巴API接口入点(按图搜索,商品详情,关键词搜索,商品评论,订单类接口),希望以上的示例,可以帮到有需要的朋友。获取商品详情接口API是一种用于获取电商平台上商品详情数据的接口,通过该接口,用户可以根据商品的ID或其他关键信息,向电商平台发送请求,获取商品的详情数据。阿里巴巴平台商品详情接口是开放平台提供的一种API接口,通过调用API接口,开发者可以获取阿里巴巴商品的标题、价格、库存、月销量、总销量、库存、详情描述、图片等详细信息。请参考开放平台提供的接口文档,了解相应的接口和参数。
使用java调用阿里云接口发送短信】
高克莱的博客
09-07 418
使用java代码,调用阿里云接口,向指定手机号码发送短信
Springboot远程调用API阿里云API接口
qq_42277704的博客
09-12 912
url:就是最开始提到的调用地址accept是收到的格式。
Java接口签名(Signature)实现方案
weixin_44765236的博客
10-25 233
Java接口签名(Signature)实现方案
API网关Java-SDK使用指南
weixin_45378319的博客
02-02 2822
API网关Java-SDK使用指南 1 SDK简介 欢迎使用API网关开发者工具套件(SDK)。API网关SDK是根据您自定义的所有API接口,自动生成的Java调用代码,让您无需复杂编程即可访问阿里云API网关服务。这里向您介绍如何使用API网关SDK。 需要注意的一点是,所有API和文档都会按照RegionId、Group分组。下文中所有出现的{{group}}都是指API所属Group的名...
Java【算法 04】HTTP的认证方式之DIGEST认证详细流程说明及举例
Java与大数据相关实践内容分享!
08-11 2807
HTTP的认证方式之DIGEST认证详细流程说明及举例
Java阿里云RPC调用签名计算方式
HBZHSN的博客
07-19 300
Java 计算阿里云RPC接口调用签名
ISAPI摘要认证java代码怎么写
weixin_42602726的博客
02-17 237
ISAPI摘要认证java代码实现可以参考如下示例:String username = "username"; String password = "password";// 构造URL String url = "http://example.com";// 创建HttpClient对象 HttpClient client = new DefaultHttpClient();// 构造Auth...
消息摘要和数字签名Java简单实现)
疯狂的蜗牛
06-03 2400
摘要: 本文主要对数字签名和消息摘要进行简要介绍,并通过java实现基本流程。 概念介绍: 消息摘要 一个消息摘要是一个数据块的数字指纹。即对一个任意长度的一个数据块进行计算,产生一个唯一指印(对于 SHA1 是产生一个 20 字节的二进制数组)。 消息摘要有两个基本属性: 两个不同的报文难以生成相同的摘要 难以对指定的摘要生成一个报文,而由该报文反推算出该指定的摘要 ...
CMC云服务框架V2.0.3对接详解:签名认证API网关
"CMC云服务框架对接文档-V2.0.3 是一份面向后端开发人员的指南,详细介绍了如何与CMC云服务框架进行对接,主要涵盖了服务授权签名认证登录、API网关验证以及资源API使用方法。" CMC云服务框架是一个综合性的服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值