api接口签名验证

最新推荐文章于 2024-05-30 18:35:56 发布
最新推荐文章于 2024-05-30 18:35:56 发布
阅读量902 收藏 1
点赞数 1
分类专栏: 接口测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liying15/article/details/87556531
版权

为了防止信息被篡改和伪造,保障通信对安全,在app对请求参数中常使用MD5、RSA、SHA等签名算法。下面以MD5为例学习一下:

MD5参数签名

1、服务器和客户端约定一个salt (salt不参与通信,只要不泄漏,一般请求就不会被伪造)
2、按照指定顺序将所有参数排序,然后生成一个字符串
下面以一个简单对例子来讲解:

参数为:uid=12343546,noncse=8ec4560998,from=3 
排序为:from=3,uid=12343546,noncse=8ec4560998,
拼接字符串:from=3uid=12343546noncse=8ec4560998

生成签名参数sign: (python语言代码)


import hashlib,random

def calc_sign_md5(params_dict):
    """
    根据参数列表计算sign值
    :param params_dict: 参数列表
    :return: md5加密后的sign值
    """
    dict = params_dict
    keys = sorted(dict.keys())
    string = ""
    for key in keys:
        if dict[key] != '':
            string = string + str(key) + '=' + str(dict[key]) + '&'

    articleId = string + 'S}34546575*8wL7i'
    hash = hashlib.md5()
    hash.update(articleId.encode('utf-8'))
    return hash.hexdigest()

app发送请求时将sign一起上传:uid=12343546,noncse=8ec4560998,from=3,sign=5b049bda2977beb29755b977b38b5c4b
服务器对sign参数进行验证,验证通过才返回数据,否则返回错误信息。

请求的唯一性

为了防止重复请求,通常采用timestamp+nonce方案。
timestamp:参数中加入时间戳
nonce:随机生成字符串
假设允许客户端和服务器之间最多存在15分钟的时间差,同时追踪记录在服务端的nonnce集合。当有新请求进入时:
1、首先验证时间戳误差。如果超出范围则返回错误信息。
2、时间戳验证通过:则查询携带的nonce。如果nonce已经存在,则返回错误信息。
3、时间正确、nonce也不存在的情况:记录nonce,删除集合内大于15分钟的nonce
4、验证sign

    params["timestamp"] = int(time.time()) * 1000  


    def calc_noncestr(self):
        """
        随机生成一个16位字符串作为参数noncestr
        :return: 生成的参数noncestr值
        """
        seed = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
        sa = []
        for i in range(16):
            sa.append(random.choice(seed))
        return ''.join(sa)

请求参数变为:uid=12343546,noncse=8ec4560998,timestamp=1550492925,noncestr=CWKADuTJVqjdAu5B,from=3,sign=5b049bda2977beb29755b977b38b5c4b

登录验证

需要登录的接口如何验证:
1、客户端提供用户名和密码,服务器返回session
2、客户端发送请求的时候将session作为参数上传
session一般有时效,过期需要重新获取

漠然一笑兮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java app接口安全认证_Java生鲜电商平台-开放API接口签名验证(小程序/APP)
weixin_36210213的博客
02-13 477
Java生鲜电商平台-开放API接口签名验证(小程序/APP)说明:在实际的生鲜业务中,不可避免的需要对外提供api接口给外部进行调用. 这里就有一个接口安全的问题需要沟通了。下面是干货:接口安全问题请求身份是否合法?请求参数是否被篡改?请求是否唯一?AccessKey&SecretKey (开放平台)请求身份为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于...
rsa签名算法实现_Api 签名算法
weixin_39553423的博客
11-27 357
描述为了保证第三方应用与API服务器之间通信的安全性,防止Secret Key盗用、数据篡改等恶意攻击行为,开放平台API 服务器使用签名机制,应用在调用开放平台API,需要计算出一个签名。请求发起方式通过应用客户端发起的通过页面中的JavaScript、Flash内的ActionScript或手机、桌面客户端程序发起。则签名是由请求参数和Session Secret(每个用户的Session K...
API签名认证
最新发布
qq_64376339的博客
05-30 469
定义:API签名认证是一种安全机制,通过为每个请求生成一个唯一的签名值来验证其合法性。作用身份验证验证请求发送者的身份是否合法。防止篡改:确保请求在传输过程中没有被篡改。防止重放攻击:防止攻击者重复发送之前截获的合法请求。
django 1.8 官方文档翻译:8-5 加密签名
weixin_33898233的博客
09-16 136
加密签名 web应用安全的黄金法则是,永远不要相信来自不可信来源的数据。有时通过不可信的媒介来传递数据会非常方便。密码签名后的值可以通过不受信任的途径传递,这样是安全的,因为任何篡改都会检测的到。 Django提供了用于签名的底层API,以及用于设置和读取被签名cookie的上层API,它们是web应用中最常使用的签名工具之一。 你可能会...
django进阶必备(一)django接口签名类装饰器
mzm5466的博客
09-02 675
目录 django接口安全签名装饰器 调用方式 django接口安全签名装饰器 #!/usr/bin/python # -*- coding: utf-8 -*- # @Time : 2019/9/2 9:16 # @Author : Meng # @File : utils.py # @Software: PyCharm import time import hash...
接口测试必备技能 - 加密和签名
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
10-28 2956
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据。
WEB API 接口签名验证入门与实战课程
06-21
通过对API接口编写与请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求的参数不被...
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的第三方滥用。在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人攻击等。签名验证...
PHP开发API接口签名生成及验证操作示例
10-15
首先,API接口签名的主要目的是为了保证请求的完整性和不可伪造性。签名应具备以下特性: 1. 可变性:每次请求的签名应不同,以防止重复利用。 2. 时效性:签名应有有效期,过期后无效,增加安全性。 3. 唯一性:每...
开放API接口签名验证,让你的接口从此不再裸奔.docx
11-14
开放 API 接口签名验证,让你的接口从此不再裸奔 开放 API 接口签名验证是指在开放平台上,对 API 接口进行身份验证和参数签名验证,以确保接口安全和防止篡改参数。该方法使用 AccessKey 和 SecretKey 两者结合,...
Vue + Django 2.0.6 学习笔记 10.12 支付宝支付接口返回签名校验
@凌晨三点半的博客
07-09 606
支付成功后 支付宝会返回相应参数。但是我们必须要检查返回的参数是不是支付宝发起的。还是被串改的。 所以我们需要校验返回参数中的签名(sign)是否与其他参数一致 代码: # 测试用函数 写在 if __name__ == "__main__"中的。 用于单独测试 return_url = 'http://127.0.0.1:8000/?total_amount=100.00&a...
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 5528
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
数字化转型背景下如何实现API安全加固?
hanniuniu13的博客
06-23 305
过去一年里,由于受到新冠疫情影响,企业被迫在前所未有的范围内远程办公,尝试使用新方法来利用技术服务客户。统计显示,进行现代化改造的企业数量比2020年增加了133%。实现应用现代化的方法有很多,通过 API 启用现代接口无疑是具有成本效益的一种。而随着 API 的激增,如何实现API安全加固就成为企业关注的焦点。那么今天我们就来聊聊API网关的安全加固架构与F5 API加固解决方案。   API网关安全加固架构 从攻击的角度来看,API网关的安全加固架构与传统应用的安全加固架构类似,分为网络层、交付与传输层
Django怎么写接口?系列整理
9527
08-20 3424
接口是什么? 大部分刚入门的人估计都比较难以理解 其实说的不严谨一些, 我们编写的视图,其实就是一种接口 在django中一讲到接口,估计大家都会想起restframework,当然,这更多的讲究的是一种风格,而非规则,接口的编写也没有“非这样不可的说法”,在实际中,接口的编写更多与我们的实际业务相结合,怎样写接口于我们的业务更贴切,我们就怎么去写 给个例子: class CountDataApi...
提供给第三方的API签名验证问题
问天的博客
06-03 1437
目前的状况 公司目前有若干的第三方API, 这些API是供第三方的一些渠道对接,让渠道可以访问到一些公司的业务信息,他们是这么设计的。 使用Bear Token 作为第三方访问API的时候的唯一验证方式, 当第三方需要访问公司的API的时候,任何请求需要在请求头里面添加 Authorization:头信息, 用来提供Token给服务器 从而验证当前的请求是否有效。 有一些操作我们想要回避第三方渠道, 如客户需要提交一些信息给服务器 第三方渠道不需要知道这些信息的时候, 我们会让访问第三方渠道的客户跳转到一
自定义接口签名验证
qq_1141193930的博客
08-17 525
对外调用接口安全性需要进行接口签名的认证所以实现一个简单的接口签名验证逻辑 一、主要实现点 1.验证接口的时效性 2.验证接口的数据正确性 3.验证AB两个用户调用共同的的私钥ACCESS_KEY 二、签名规则描述: 1.接口请求参数与盐值和时间戳按照自然规则排序 2.参数必须包括当前时间戳 【timestamp】字段、盐值【salt】字段、签名【sign】字段 3.【salt】生成规则:UUID 去【-】即可 4.【sign】生成规则:自然排序的参数拼接ACCESS_KEY然后MD5加密即可 .
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
asfasfasgjkl的博客
06-27 1016
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
如何保证API接口的安全性
repoman的博客
02-15 4507
怎样防伪装攻击 防伪装攻击:即防止接口被其他人调用,此阶段可以理解为比如已经登录了,然后在请求其他接口的时候,通过Token授权机制来判断当前请求是否有效 Token是客户端访问服务端的凭证。 Token授权机制 用户用密码登录或者验证码登录成功后,服务器返回token(通常UUID)给客户端,并将Token-UserId以键值对的形式存放在缓存服务器中。 客户端将token保存在本地,发起后续的相关请求时,将token发回给服务器; 服务器检查token的有效性,有效则返回数据,若无效,..
详解HTTP中的摘要认证机制
热门推荐
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值