api加密

最新推荐文章于 2024-07-25 15:39:03 发布
最新推荐文章于 2024-07-25 15:39:03 发布
阅读量450 收藏 1
点赞数

加一个访问token。
例如你的api地址是http://www.example.com/api.php
需要接受的参数有a,b,c三个
那么可以加一个验证token(通过约定的key加密生成)。

例如
$a=1;
$b=2;
$c=3;
$key='abcdef';

$token=sha1($a.$b.$c.$key);

然后访问使用http://www.example.com/api.php?a=1&b=2&c=3&token=xxxx
api.php接收到a,b,c,token参数后,根据a,b,c与约定好的key,计算sha1($a.$b.$c.$key);是否等于接收到的token,如果相同则返回数据,否则返回没有权限。


假设我们本来需要访问 http://api.example.com/articles 这样的一个接口,接口返回json数据。在客户端访问之前,我们先对这个url进行这样的处理:

  1. 加客户端时间戳:http://api.example.com/1322470148/articles
  2. 对url的path段进行rsa加密,然后base64:http://api.example.com/TBhIskCgCN+WMK3PftbYzPQFAKvx9sE9OMOxvL00kCBlNiKw2C1Mb7oGcfUepTxauG06NLBNhr5BFtjt7Xu7uwdpUYyVcFRdI37SVyGRCOzaxACOGXGpX5dHZqQJia0icxwWJ+D1RiJqxFWQ++3/IgUOgDzgvQnPIl420bpztB8=


API权限设计总结:

最近在做API的权限设计这一块,做一次权限设计的总结。

1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasdas&timestamp=2013-03-05 10:14:00&c=c&a=a&d=d


2. 接口调用的控制器:openapi/v1/get/user/


3. 步骤一:作为服务端,首先要检查参数是否正确:key (用户的key) ;sign(加密的签名串) ;timestamp (请求的时间,服务端对请求有时间生效),这些参数如果有一个参数没传递,肯定返回参数不正确的结果。


4. 步骤二:参数如果都传递正确,这个时候需要检查API的白名单权限,API也就是(openapi/v1/get/user/)是否存在在我们的数据库中,一般会有一张API的数据表,如果调用的API不在我们的数据库白名单中或者这个API已经关闭访问了,那么要返回禁止访问的结果。


5. 步骤三: 如果API在白名单中,那么现在就要检查用户的KEY是否正确了,服务端会有一张用户权限表,这个数据表主要用来记录用户的key secret(密钥) 以及API权限列表,检查这个用户对访问的API(openapi/v1/get/user/)是否有权限,如果有权限则通过,没权限则关闭。


6. 步骤四: 如果用户权限通过,这个时候就到了最重要的一步,SIGN签名的验证。

签名算法:

加密方式 md5(POST参数(升序排序,除key sign参数除外) + 用户密钥) 

PHP加密算法代码:

  1. foreach ($p as $v) {  
  2.             $temp = explode("="$v);  
  3.             $pArr[$temp[0]] = $temp[1];  
  4.         }  
  5. ksort($pArr);  
  6.         foreach ($pArr as $k => $v) {      
  7.             $pStr2 .= $k . $v ;  
  8.         }  
  9. md5($pStr2 . $secret)  

注意:加密的时候,需要将timestamp带上,防止客户端篡改。

客户端,将自己需要传递的参数进行升序排序,然后加上自己key对应的密钥(密钥在服务端数据库中有一份保存,这个是不能对外公开的)进行MD5加密,通过参数sign传递到服务端。

服务端拿到sign值后,对传递过来的参数也进行同样的算法排序,并经过用户的key查询得到密钥,然后进行一次加密算法,得到的服务端的sign和客户端传递过来的sign进行比较,如果相同则表示是可以通过的,如果中途有人篡改数据等,那么最终加密出来的sign就是不一致的,这样保证了用户传递数据的可靠性和安全性。


7. 步骤五:检查时间戳时间,比较客户端时间和服务端时间是否在10分钟之内,如果10分钟之外了,那么返回超时的提示,这样能保证调用过的接口数据能在一定时间内销毁掉。


8. 步骤六:调用相应逻辑


http://meiyitianabc.blog.163.com/blog/static/10502212720131056273619/

http://bbs.csdn.net/topics/390875603?page=1

laofan_1123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
restful api 权限设计 - 初探一
tomsun28
12-03 596
restful api 权限设计 - 初探一 在现在主流的前后端分离的系统中,或者是专注于提供api服务的系统,如何保护好所提供的后端restful api,使得非常重要。保护api的方面很多,限流,防刷,校验可以说都是保护,今天来谈谈很重要的api的认证鉴权保护,大概的思路。需求两点:首先认证 – 我们可以配置哪些api需要用户认证通过才能访问哪些可以直接访问,还有就是鉴权 – 我们可以配置管理哪些api对于某个用户能调用哪些不能调用。 题外-有些会说页面按钮或者页面显示的权限问题,个人认为按钮,页面这类
api加密 java_API接口 AES简单加密(Java版本)
weixin_39842029的博客
02-12 872
业务场景APP跟服务端接口通讯有部分数据比较敏感不像被爬虫抓取所以想用对参数进行一些加密搜了一些资料,目前好像用的比较多的就是这里主要记录下我使用的 ASE加密方式1.MD5加密(只能加不能解)public static void md5Demo(){String code = "hello word";String encryption_code = Md5.md5(code.getBytes(...
转载和积累系列 - API权限设计总结
自娱自乐的代码人
03-05 5708
API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasdas&timestamp=2013-03-05 10:14:00&c=c&a=a&d=d 2. 接口调用的控制器:openapi/v1/get/us
API签名及加密方式详解
最新发布
Explinks的博客
07-25 692
本文将从专业的角度来进行全面解析,从技术角度对API的签名方式,加密方式等进行详解。
认证鉴权与API权限控制在微服务架构中的设计与实现(四)
weixin_33958366的博客
10-26 569
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完。本文比较长,对这个系列进行收尾,主要内容包括对授权和鉴权流程之外的endpoint以及Spring Security过滤器部分踩坑的经历。欢迎阅读本系列文章。 1. 前文回顾 首先还是照例对前文进行回顾。在第一篇 认证鉴权与API权限控制在微服务架构中的设...
接口加密《二》: API权限设计总结
weixin_33932129的博客
04-13 379
来源:http://meiyitianabc.blog.163.com/blog/static/105022127201310562811897/ API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasd...
基于资源的权限系统-API设计
weixin_34123613的博客
12-20 206
概述 权限系统需要和别的系统集成,因此,良好的API是易用性的保证。 这里只设计一些权限相关的核心 API,关于用户,组织,导入导出之类的后续再逐步补充 API 设计 围绕权限有以下 4 类 API: 授权 单独授权 给某个 用户/组织 授予权限,权限 = 资源+动作 UpdatePermission(userID, resourceID, action) error // 授权后 use...
C#中.net8WebApi加密解密
05-04
在.NET 8中,C#开发者经常会遇到在WebApi中处理数据加密与解密的需求,以确保传输过程中数据的安全性。本文将详细讲解如何在C#的.NET 8 WebApi项目中实现加密和解密操作。 一、加密解密基础 1. 加密:将明文转换为...
Microsoft CryptoAPI加密技术 源代码.zip
03-28
Microsoft CryptoAPI加密应用程序接口)是Windows操作系统内核的一部分,它为开发者提供了一种标准的方式来实现各种加密和安全相关的操作。这个压缩包包含了与CryptoAPI相关的源代码,可以帮助我们深入理解其工作...
nodejs-encryption-api-example:使用 node.js 通过 API 加密解密数据的示例
07-24
使用 Node.js 加密 API 端点 介绍 使用 node.js 通过 API 加密/解密数据的示例。 此示例的想法是测试如何在数据存储(例如 MongoDB)下存储加密数据,并通过为每次调用提供加密密钥来保持对数据的控制。 该项目不...
asp.net mvc webapi 实用的接口加密方法示例
10-19
*** MVC WebAPI 接口加密方法示例 *** MVC WebAPI 是一种用于构建和开发HTTP服务的框架,这些服务可以通过互联网访问。随着API服务的对外开放,其安全性问题显得尤为重要。为了确保数据的安全交换,需要采取加密...
用户权限设计方案
05-28
为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,提供的一种设计方案
统一授权系统接口设计说明书
11-28
此文档描述统一授权平台的接口设计,主要是从各接口的说明,数据格式的定义进行描述。 包括单点登录、用户和组织机构管理、统一消息三大部分。
认证鉴权与API权限控制在微服务架构中的设计与实现(二)
竹林幽深
09-15 399
oauth2学习
认证鉴权与API权限控制在微服务架构中的设计与实现(三)
Docker的专栏
10-28 3026
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第三篇,本文重点讲解token以及API级别的鉴权。本文对涉及到的大部分代码进行了分析,欢迎订阅本系列文章。 1. 前文回顾 在开始讲解这一篇文章之前,先对之前两篇文章进行回忆下。在第一篇《认证鉴权与API权限控制在微服务架构中的设计与实现(一)》介绍了该项目的背景以及技术调研与最后选型。第二
oauth2中用户的信息如何动态获取和存储_认证鉴权与API权限控制在微服务架构中的设计与实现...
weixin_39606244的博客
12-18 800
1. 背景最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览器,还包括其他服务的调用时,单体应用架构下的鉴权方式就不是特别合适了。在微服务架构下,要考虑外部应用接入的...
认证鉴权与API权限控制在微服务架构中的设计与实现
格局决定一切,智恒方远
09-28 410
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确...
认证鉴权与API权限控制在微服务架构中的设计与实现(一)
竹林幽深
09-15 483
oauth2
API访问控制设计
weixin_30699443的博客
09-01 241
References ● OAuth 2.0 for native apps: https://datatracker.ietf.org/doc/rfc8252/ ● OAuth 2.0 for browser-based apps best current practice: https://datatracker.ietf.org/doc/draft-ietf-oauth-brows...
使用windows crypto API加密解密
05-20
下面是一个简单的示例,演示如何使用Windows Crypto API加密和解密数据: ```c++ #include #include #include #pragma comment(lib, "Crypt32.lib") int main() { // 要加密的数据 const char* data = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值