JAVA 使用摘要签名认证方式调用阿里网关API

已于 2023-01-12 19:01:24 修改
阅读量1.1k 收藏 4
点赞数
文章标签: 安全 java
于 2023-01-12 15:18:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1145374720/article/details/128659075
版权

场景:老板突然一个需求发到我,需要将分销商的扫码内容解码获取到真实的商品条码(由于分销商使用了阿里的数据转换API服务,所以要解码)

一、调用阿里API的方式文档地址

1.使用简单认证(AppCode)方式调用API

2.使用SDK调用API

3.使用摘要签名认证方式调用API(本篇主要讲这个方式)

二、生成签名

1.准备API的 AppKey、AppSecret

2.客户端生成签名一共分三步处理:

2.1.从下面7个字段构成整个签名串,字段之间使用\n间隔换行,如果Headers为空,则不需要加\n,其他字段如果传空则必须要保留\n(关键点)

HTTPMethod
Accept
Content-MD5
Content-Type
Date
Headers
PathAndParameters
  • HTTPMethod:HTTP的方法,全部大写,比如POST
  •  Accept:请求中的Accept头的值,可为空,可传 
    application/json; charset=utf-8
  • Content-MD5:请求中的Content-MD5头的值,可为空
  • Content-Type:请求中的Content-Type头的值,可为空,可传 
    application/x-www-form-urlencoded; charset=UTF-8
  • Date:请求中的Date头的值,可为空
  • Headers:用户可以选取指定的header参与签名,关于header的签名串拼接方式有以下规则:参与签名计算的Header的Key按照字典排序后使用如下方式拼接: 
    HeaderKey1 + ":" + HeaderValue1 + "\n" +
HeaderKey2 + ":" + HeaderValue2 + "\n" +
...
HeaderKeyN + ":" + HeaderValueN + "\n"

       某个Header的Value为空,则使用HeaderKey+":"+"\n"参与签名,需要保留Key和英文冒号

       所有参与签名的Header的Key的集合使用英文逗号分割放到Key为X-Ca-Signature-Headers的  Header中

以下Header不参与Header签名计算:X-Ca-Signature、X-Ca-Signature-Headers、Accept、Content-MD5、Content-Type、Date;

  • PathAndParameters这个字段包含Path,Query和Form中的所有参数,具体组织形式如下:
Path + "?" + Key1 + "=" + Value1 + "&" + Key2 + "=" + Value2 + ... "&" + KeyN + "=" + ValueN

Query和Form参数对的Key按照字典排序后使用上面的方式拼接;

Query和Form参数为空时,则直接使用Path,不需要添加?;

参数的Value为空时只保留Key参与签名,等号不需要再加入签名;

Query和Form存在数组参数时(key相同,value不同的参数) ,取第一个Value参与签名计算。

2.2.使用HmacSHA256加密算法加AppSecret 对签名字符串进行加密处理,得到签名

3.将签名字符串所相关的所有头加入到原始HTTP请求中,得到最终HTTP请求

三、不废话 上代码

1.准备工作

//阿里API AppKey
    public final static String appKey = "xxxxx";
    //阿里API AppSecret
    public final static String appSecret = "xxxxxxxxx";
    //请求参数
    public final static String queryParams = "xxxxxxx";
    //阿里API
    public final static String ALiBaBaApi = "https://api.ailend.top/api/v1x/xxxxx/xxxxxx?x="+queryParams;
    //签名串的7个字段
    public final static String HTTPMethod = "POST";
    public final static String Accept = "application/json; charset=utf-8";
    public final static String Content_MD5 = "";
    public final static String Content_Type = "application/x-www-form-urlencoded; charset=UTF-8";
    public final static String Date = "";
    public final static String Headers = "X-Ca-Key:%s" +"\n"+
                                        "X-Ca-Nonce:%s"  +"\n"+
                                        "X-Ca-Signature-Method:HmacSHA256" +"\n"+
                                        "X-Ca-Timestamp:%s";
    public static String PathAndParameters = "";

2.组装签名串

/*
     * 组装签名串
     * @params uuid 随机数
     * @params url 请求的阿里API
     * @params timestamp 时间戳
     * */
    public static String packageSignStr(String uuid,String url,long timestamp){
        URL parseUrl = URLUtil.url(url);
        PathAndParameters = parseUrl.getPath()+"?"+parseUrl.getQuery();
        String temp = HTTPMethod +"\n"+
                    Accept +"\n"+
                    Content_MD5 +"\n"+
                    Content_Type +"\n"+
                    Date +"\n"+
                    Headers +"\n"+
                    PathAndParameters;
        return String.format(temp,appKey, uuid, timestamp);
    }

3.生成签名的方法

/*
    * 生成加密签名
    * @params content 组装好的签名串
    * @params appSecret 密钥
    * */
    private static String getSHA256StrJava(String content, String appSecret) throws Exception {
        Mac mac = Mac.getInstance("HmacSHA256");
        SecretKeySpec secret_key = new SecretKeySpec(StrUtil.bytes(appSecret, CharsetUtil.UTF_8), "HmacSHA256");
        mac.init(secret_key);
        byte[] binaryData = mac.doFinal(StrUtil.bytes(content, CharsetUtil.UTF_8));
        return Base64.getEncoder().encodeToString(binaryData);
    }

 4.调用生成

String uuid = UUID.randomUUID().toString();
long l = System.currentTimeMillis();
//生成签名
String sign = getSHA256StrJava(packageSignStr(uuid, ALiBaBaApi,l),appSecret);
//请求头加入签名
String body = HttpUtil.createPost(ALiBaBaApi)
                .header("Accept", "application/json; charset=utf-8")
                .header("Content-MD5", "")
                .header("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8")
                .header("Date", "")
                .header("X-Ca-Key", appKey)
                .header("X-Ca-Nonce", uuid)
                .header("X-Ca-Signature-Method", "HmacSHA256")
                .header("X-Ca-Timestamp", String.valueOf(l))
                .header("X-Ca-Signature-Headers", "X-Ca-Key,X-Ca-Nonce,X-Ca-Signature-Method,X-Ca-Timestamp")
                .header("X-Ca-Signature", sign)
                .execute().body();
System.out.println("requestRes : "+body);

四、签名排错

当签名不匹配时网关会通过 HTTP Response Header 中的 X-Ca-Error-Messaqe 返回服务端参与签名计算的 StringToSign.

我们只需要打印出 packageSignStr() 方法生成的签名串 ,然后与响应头中的 X-Ca-Error-Messaqe 中值进行比对即可,找出哪里不同,针对性解决就OK了,多一个字符、少一个字符、多一个换行、少一个换行都会返回签名无效,注意:响应头中的#为换行符\n

如果服务端与客户端的StringToSign一致请检查用于签名计算的APP Secret是否正确。

l1145374720
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云API 前端直接调用
wywywy1995的博客
02-19 412
阿里云API前端直接调用,不使用sdk方式调用
js调用阿里云api签名算法
04-09
最近需要调用阿里云视频点播相接口,在上没找到js的实现,自己写的,在js中实现了阿里云的公共参数签名算法。用到了第三方的CryptoJS做HmacSHA1加密,下载后,需要把你的阿里云key和密钥填进去
PHP 使用摘要签名认证方式调用阿里API
l1145374720的博客
01-12 307
php 使用摘要签名认证方式调用API
阿里api接口客户端demo,java实现源码,其他语言可参考
a704397849的博客
04-22 4546
访问阿里api接口客户端demo,java实现源码,其他语音可参考 上一篇文章 《阿里api接口创建、发布、授权、调试》 中,介绍了3个典型接口的创建并在阿里控制台调试完成,地址:https://blog.csdn.net/a704397849/article/details/89421342 app用户账号密码登录 ,认证方式: OpenID Connect(模式:获取授权api) &...
摘要签名认证方式
m0_75128835的博客
11-25 605
摘要签名认证方式
java api方法摘要_【JavaAPI参数如何进行摘要签名验证的?
weixin_29421409的博客
02-28 335
假设A开发了一系列API,要求调用这些API调用者对调用参数进行签名,然后A在后台对每个请求的签名进行验证。假设B要调用这些API,首先需要将参数序列化为json,然后对json string进行md5算法运算,得到签名sigA收到B调用api的request,取出参数,记性呢md5运算,然后和sig对比。但是A取出的参数json string需要和B当时得到的一致。可是由于json序列化可能导...
Java】阿里云RPC调用签名计算方式
HBZHSN的博客
07-19 303
Java 计算阿里云RPC接口调用签名
阿里云API(13)请求身份识别:客户端请求签名和服务请求签名
weixin_34309435的博客
07-26 729
指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list   一、客户端授权和客户端签...
java 阿里云api请求签名算法实践
m0_37549390的博客
07-21 1212
package com.kf.goodidea; import java.net.URLEncoder; import java.io.UnsupportedEncodingException; import java.text.SimpleDateFormat; import java.util.*; //import sun.misc.BASE64Encoder; import java.util.Base64; import javax.crypto.SecretKey; import javax
考试记录:阿里云Apsara Clouder专项技能认证:实现调用API接口
Cheney6的博客
04-02 582
十分钟考取:阿⾥云Apsara Clouder专项技能认证:实现调用API接口
阿里云API调用事例源码
08-11
阿里云API调用事例源码 sign加密算法
阿里公有云、专有云ASAPI方式通用调用java示例
09-30
阿里公有云、专有云ASAPI方式通用调用java示例
调用阿里云APIjava(异步实现)DDNS
03-22
IP动态绑定阿里云云解析DNS服务。这里的域名是在阿里云购买。用java代码实现了UPDATE,这里是java源代码。‘增删改查’记录,‘改查’实现了目前增有得完善代码,删没删除...这是API接口分析和API调用KEY获取的文章
Java 调用Restful API接口的几种方式(HTTPS)
08-28
在本文中,我们将介绍 Java 调用 Restful API 接口的几种方式,包括使用 HttpClient、OkHttp 和 Unirest 等常见的方法。 使用 HttpClient 调用 Restful API 接口 HttpClient 是 Apache 的一个开源项目,提供了一个...
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 272
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1041
络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
安全:IPC横向
8888的博客
07-23 668
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
深入探讨:如何在Shopee平台上安全运营多个店铺?
最新发布
Ssm2022的博客
07-24 558
因为每个IP相信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被联。通过这些措施,卖家可以有效降低店铺被联的风险,保障业务的持续和稳定发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值