单点登录之一(简单签名验证):在自己的平台系统上建立单点登录验证,以便集成第三方系统的接入

最新推荐文章于 2024-03-05 15:33:47 发布
最新推荐文章于 2024-03-05 15:33:47 发布
阅读量289 收藏
点赞数 2
分类专栏: web server java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leiliz/article/details/133641837
版权

1.签名验证

平台提供apiKey和apiSecret给第三方,apiKey可明文传输,表明身份并用作加密参数之一,apiSecret双方都私密保存,根据apiKey查找并用作加密参数之一。
逻辑简单来说就是:双方都知道apiKey(公钥)和apiSecret(密钥),每次调用接口,双方都根据公钥和密钥进行加密,得到sign签名值,第三方把sign做为参数传给平台,平台在后台把自己加密的sign和参数sign对比是否相等即可。

1.1签名加密

为了登录时效性,需要增加参数timestamp(时间戳)以便验证是否登录过期
加密字符串可自定义拼接方式,加密方式可以选任意,比如MD5,如下

	/**
     * 签名 apiKey+"&"+userId+"&"+apiSecret+"&"+timestamp 拼接成的字符串, 然后进行 MD5 运算, 得到 sign 值
     * @return sign
     */
    public static String signature(String apiKey, String userId, String apiSecret, Long timestamp) {
        StringBuffer buffer = new StringBuffer();
        buffer.append(apiKey + "&").append(userId + "&").append(apiSecret + "&").append(String.valueOf(timestamp));
        return Tools.md5Encrypt(buffer.toString());
    }

这里得到的sign值,用于第三方调接口时与参数sign进行比较,相同则通过。

当然,签名也可以按照实际需求增加更多的参数,比如用户类型等,如下:

	/**
     * 签名 apiKey+"&"+userId+"&"+apiSecret+"&"+timestamp+"&"+dataType 拼接成的字符串, 然后进行 MD5 运算, 得到 sign 值
     * @return sign
     */
    public static String signature(String apiKey, String userId, String apiSecret, Long timestamp, Integer dataType) {
        StringBuffer buffer = new StringBuffer();
        buffer.append(apiKey + "&").append(userId + "&").append(apiSecret + "&")
                .append(String.valueOf(timestamp) + "&").append(String.valueOf(dataType));
        return Tools.md5Encrypt(buffer.toString());
    }

完整代码,签名工具类

package net.firstelite.commons.util;

import org.apache.commons.lang3.StringUtils;

/**
 * @Author: Larry
 * @Date: 2023/5/22 11:00
 * 单点登录签名工具类
 */
public class SingleUtil {
    private static final int EXPIRE_TIME = 30; //过期时间 分钟

    /**
     * 验证是否过期
     * @return
     */
    public static boolean isExpire(Long timestamp) {
//        if (StringUtils.isBlank(timestamp)) {
//            return false;
//        }
//        if (!timestamp.matches("^[0-9]*$")) {
//            return false;
//        }
        if (System.currentTimeMillis() - timestamp > EXPIRE_TIME * 60 * 1000) {
            return true; //过期
        }
        return false;
    }

    /**
     * 签名 apiKey+"&"+userId+"&"+apiSecret+"&"+timestamp 拼接成的字符串, 然后进行 MD5 运算, 得到 sign 值
     * @return sign
     */
    public static String signature(String apiKey, String userId, String apiSecret, Long timestamp) {
        StringBuffer buffer = new StringBuffer();
        buffer.append(apiKey + "&").append(userId + "&").append(apiSecret + "&").append(String.valueOf(timestamp));
        return Tools.md5Encrypt(buffer.toString());
    }


    /**
     * 签名 apiKey+"&"+userId+"&"+apiSecret+"&"+timestamp+"&"+dataType 拼接成的字符串, 然后进行 MD5 运算, 得到 sign 值
     * @return sign
     */
    public static String signature(String apiKey, String userId, String apiSecret, Long timestamp, Integer dataType) {
        StringBuffer buffer = new StringBuffer();
        buffer.append(apiKey + "&").append(userId + "&").append(apiSecret + "&")
                .append(String.valueOf(timestamp) + "&").append(String.valueOf(dataType));
        return Tools.md5Encrypt(buffer.toString());
    }

    public static void main(String[] args) {
        System.out.println(System.currentTimeMillis());
        System.out.println(signature("3e44cbf4c78d4d7e891c", "ee8f354ed8634e64bb5c", "4a8aebe1527c471296f3", 1694071099344L));
        System.out.println(signature("3e44cbf4c78d4d7e891c", "6a4d6da287cf4ffd93d8", "4a8aebe1527c471296f3", 1695027256825L, 2));
    }
}

1.2签名验证

第三方接入系统,调用平台接口,传参为signature定义的参数,除过apiSecret,外加1.1提到的sign值,例如获取用户登录信息接口

	@RequestMapping(value = "/getUserInfo", method = RequestMethod.GET)
    @ApiOperation(value = "获取登录用户信息", notes = "获取登录用户信息")
    @ApiResponses({@ApiResponse(code = 200, response = UserInfo.class, message = "返回信息:点击下方Model查看注释详情")})
    public Result getUserInfo(String apiKey, String userId, Long timestamp, String sign) {
        Result result = new Result();
        try {
            if (StringUtils.isBlank(apiKey)) return fail("apiKey不能为空");
            if (StringUtils.isBlank(userId)) return fail("用户ID不能为空");
            if (Objects.isNull(timestamp)) return fail("时间戳不能为空");
            if (StringUtils.isBlank(sign)) return fail("签名不能为空");
            if (SingleUtil.isExpire(timestamp)) return fail("签名已过期,请重新尝试");
            
			//从自身系统根据apiKey查询保密的apiSecret
            RelatedSystemInfo systemInfo = systemInfoService.getOne(new LambdaQueryWrapper<RelatedSystemInfo>()
                    .eq(RelatedSystemInfo::getApiKey, apiKey));
            if (Objects.isNull(systemInfo) || Objects.isNull(systemInfo.getApiSecret())) return fail("未找到相关apiKey");
            String apiSecret = systemInfo.getApiSecret();
            //将参数签名后与sign进行比较,相同则通过,反之验证失败
            if (!Objects.equals(SingleUtil.signature(apiKey, userId, apiSecret, timestamp), sign))
                return fail("签名验证失败");
			//验证通过
			//进入业务逻辑,查询用户信息,根据自身系统自定义UserInfo类
			UserInfo userInfo = new UserInfo();
            //...
            result.setData(userInfo);
        } catch (Exception e) {
            e.printStackTrace();
            return except(e);
        }
        return result;
    }

到这里估计有人就问,这里的userId哪里来的,接着看第二部分,用户数据同步

2.用户数据同步

当我们的签名方式及验证都完成通过之后,就需要把平台的用户数据同步给第三方,这样双方才能知道是谁要登录系统。

2.1增加数据同步接口

这里的接口可按照需求,增加相应的参数来限制数据权限,比如用户类型,用户级别,用户所属单位等。平台不可能把所有数据都给第三方,这里的userId是平台提供给第三方的默认或者初始userId,当然也可以用apiKey代替,意义上就是用来区分需要获取哪些数据返回给第三方。

	@RequestMapping(value = "/getUserData", method = RequestMethod.GET)
    @ApiOperation(value = "获取用户数据", notes = "获取用户数据")
    @ApiResponses({@ApiResponse(code = 200, response = UserDataVO.class, message = "返回信息:点击下方Model查看注释详情")})
    public Result getUserData(String apiKey, Integer dataType, String userId, Long timestamp, String sign) {
        try {
            if (StringUtils.isBlank(apiKey)) return fail("apiKey不能为空");
            if (Objects.isNull(dataType)) return fail("数据类型不能为空");
            if (StringUtils.isBlank(userId)) return fail("用户ID不能为空");
            if (Objects.isNull(timestamp)) return fail("时间戳不能为空");
            if (StringUtils.isBlank(sign)) return fail("签名不能为空");
            if (SingleUtil.isExpire(timestamp)) return fail("签名已过期,请重新尝试");

            RelatedSystemInfo systemInfo = systemInfoService.getOne(new LambdaQueryWrapper<RelatedSystemInfo>()
                    .eq(RelatedSystemInfo::getApiKey, apiKey));
            if (Objects.isNull(systemInfo) || Objects.isNull(systemInfo.getApiSecret())) return fail("未找到相关apiKey");
            String apiSecret = systemInfo.getApiSecret();
            if (!Objects.equals(SingleUtil.signature(apiKey, userId, apiSecret, timestamp, dataType), sign))
                return fail("签名验证失败");
                
			//验证通过
			//进入业务逻辑,查询用户数据信息,根据自身系统自定义UserDataVO类
			UserDataVO userDataVO = new UserDataVO();
            //...
            result.setData(userDataVO);
      		
        } catch (Exception e) {
            e.printStackTrace();
            return except(e);
        }
        return result;
    }

2.2 保证数据的时效性

(1)第三方需要定时任务调用获取数据的接口getUserData,比如每天晚上03:00

(2)第三方getUserInfo获取到登录用户信息时,需要根据用户信息的(updateTime)更新时间字段是否变更,来实时更新当前用户的信息,以保证数据为最新的。

雨田Larry
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非常成熟完善sso单点登录框架,支持多种第三方授权登录集成,使用Google的OIDC+OAuth2+Provider+Redis+Gin+Gorm+Goutils+浏览器指纹打造高性能微服务云原生
代码讲故事
05-14 177
非常成熟和完善的sso单点登录框架,遵循最新协议标准开发完全开源免费,支持多种第三方授权登录集成,使用Google的OIDC+OAuth2+Provider+Redis,可以结合Gin+Gorm+Goutils+浏览器指纹+Golang打造高性能微服务云原生服务,官方标准协议开源库高度封装之后,可以设置自动刷新token、支持自动生成字段解释文档以及API调试文档,几行代码调用即可加入到项目中进行使用(完整项目示例源码可以直接运行)。
MaxKey单点登录认证系统-其他
06-11
MaxKey(马克思的钥匙)用户单点登录认证系统(Sigle Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供...
三方系统集成SF(SuccessFactors),实现单点登录要点
bigbearxyz的博客
12-21 1642
在笔者先前的文章中,详细介绍了如何把一个自开发的三方系统集成到okta或者IAS平台。经过笔者的实际工作经验,发现SF自己本身其实也可以作为一个单点登录平台来使用。
第三方系统单点登陆RuoYi-Vue系统
wolf8551的专栏
05-15 3607
第三方系统单点登陆若依系统
实战springboot+CAS单点登录系统
weixin_54106682的博客
06-20 3320
cas单点登录
单点登录第三方登录 + CSRF-XSS-DNS-DDOS-SQL攻击
热门推荐
Java后端技术栈
05-27 2万+
系统实现单点登录方案:SSO 单点登录 一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录的技术实现机制   如下图所示:    认证后返回给应用系统而不是用户 注(图片所
对外API接口的安全性设计及鉴权方式
linovce的博客
05-09 1万+
一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 像这种对外的api接口往往对安全性有严格要求,本文整理了一下常用的api鉴权方式以及安全措施(如有不当之处,请路过的大佬指正)。 对外API接口的安全性设计及鉴权方式 API鉴权方式 ...
dddl.rar_单点登录C#
09-20
单点登录(Single Sign-On,简称SSO)是一种网络身份验证机制,允许用户在一个系统或应用中登录后,无需再次输入凭证即可访问多个相互信任的系统。在IT领域,SSO提高了用户体验,减少了密码管理的复杂性,并增强了...
java-one-point-login.rar_java 单点登录_单点登录
09-14
Java 单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。SSO简化了用户体验,同时提高了安全性,因为它减少了密码泄露的风险。下面将...
Spring Cloud 集成OAuth2实现身份认证和单点登录
02-25
Spring Boot 实现的云应用开发工具集,它为开发者提供了在分布式系统(如配置管理、服务发现、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导选举、分布式会话、集群状态)操作的简单方法。...
单点登录Java代码
02-03
单点登录(Single Sign-On,简称SSO)是一种网络身份验证机制,允许用户在一个系统上登录后,无需再次输入凭证即可访问多个相互信任的系统。在Java开发中,实现SSO可以帮助提高用户体验,减少密码管理的复杂性。下面...
单点登录系统调研报告
04-12
单点登录系统的调研报告,包括java web技术方面的相关介绍。
API接口开发安全性
qq_36042938的博客
11-22 2569
appid、appkey、appsecret、accesstoken基本概念 app_id 是用来标记你的开发者账号的, 是你的用户id,可以向第三方去申请 app_key 和 app_secret 第三方给你创建的:appKey公匙(相当于账号)AppSecret:私匙(相当于密码) app_key 和 app_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_key+app_secret, 这样 平台就可以分配你不一样的权限, 比如 app_key1 +
Azure Key Vault(3):Key和Secret的区别
06-04 1270
我之前在网上看到过一个非常形象的例子来说明Key和Secret的区别:Key是一种“加密密钥”,用于加密信息,而无需将私钥泄露给消费者。它就像一个黑盒,使用 RSA或者EC算法进行加密。我们以RSA算法为例:RSA 算法涉及到一个公钥和私钥。每个人都可以知道公钥,它用于加密消息。使用公钥加密的邮件只能用私钥解密。Secret提供一般秘密的安全存储,如令牌,密码和连接字符串等。Secret是以8位字节的形式存储和管理秘密,最大的大小为25kb。保存到Secret中的数据将被加密存储,如果您有权限可以随时检索数
SSL VPN 服务端签名验证
最新发布
2301_80331596的博客
03-05 1218
服务端签名验签
平台第三方应用集成单点登录解决方案
siberian_wolf_wy的博客
09-17 2039
平台第三方应用集成 单点登录解决方案 使用场景 基于统一用户平台实现多应用集成单点登录,统一入口登录后用户实现共享,实现多系统认证登录,权限由各业务系统内部实现。 实现原理 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部(header)、载荷(playload)与签名(signature)。 1)目标应用获取到token后需要对其进行解密,得到JWT头、有效负荷.
java实现SSO login登录-签名验签(Authorization算法-HMAC-MD5)功能
junior77的专栏
09-14 1719
前段时间,某项目压测,需要验证SSO login功能接口。发现login请求中为了安全,使用了签名验签算法。 于是从开发那要过来算法API ,用java代码实现。方便根据签名验签,生成批量的url信息(保存到参数化文件中),供login接口直接使用。 authorization API局部内容: authorization = 签名+":"+时间戳 签名= Base64(HMAC-MD5(HTTP Method + HTTP Resource + TimeStamp + DATA, Ac...
网银UKey登录数据签名和验签流程
steven_shiwc的博客
07-02 1万+
最近工作接触到网银登录的安全认证这一块,在网上查看了很多数字证书和数字签名相关的知识,看完后收获很大,但仍然没有形成清晰的认识,在此做一个简短的自我回顾,一是相关知识点做一个全面梳理,二是加深记忆,防止日后忘记。 首先,数字证书和数字签名相关的知识参考如下文章:What is a Digital Signature?,我就不班门弄斧了,毕竟自己也是一知半解... 下面浅谈一下自己的理解:
致远OA单点登陆到第三方系统(零代码实现)
致远OA的博客
09-25 6257
需求描述 有很多小伙伴想了解致远OA是怎么对接外部系统的单点的,下面让开始了解一下吧。 基于CIP平台的单点登陆 登陆集团管理员 (企业版登陆单位管理员) 产品登记和应用注册 应用接入设置 单点登陆配置 SSO地址一般统一是同一个,可以先指向到OA的自定义控制层 PS:此处的百度地址是模拟第三方的单点登陆入口或OA的自定义的控制层 前端访问单点登陆入口 访问单点登陆入口,OA会自动维护ticket并携带给外部系统 解析ticket 外部系...
SSO CAS单点登录搭建教程:从零开始到实践
本篇教程详细介绍了如何进行SSO(Single Sign-On,统一身份验证)中的CAS(Central Authentication Service,集中认证服务)单点登录的搭建过程。作者花费数小时精心准备,旨在帮助需要学习者掌握这一技术。教程适用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值