带有签名的接口设计 -- 借鉴与改进

最新推荐文章于 2024-03-28 12:30:50 发布
最新推荐文章于 2024-03-28 12:30:50 发布
阅读量466 收藏
点赞数
分类专栏: 其他 文章标签: 带有签名的接口设计 -- 借鉴与改进
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/long13631/article/details/79740789
版权

带有签名的接口设计 -- 借鉴与改进
一 原有参考逻辑
1加签(改造前)


(1)将接口中实际全部上送的字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1 
(2)在 string1 最后直接拼接(不需要用“&”连接)双方约定的签名密钥 K1(接入时后台系统侧分配),得到 stringSignTemp1 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp1 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp1)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 


2验签(改造前)


(1)将收到的报文中所有字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string2。 
{"bankType":"CFT","busicd":"PURC","channelOrderNum":"4001532001201707130466979768","chcd":"WXP","chcdDiscount":"0.00","consumerAccount":"orS1BuFv3529BkM7m_ou7wKgDuc4","errorDetail":"成功","inscd":"10130001","mchntid":"100000000000203","merDiscount":"0.00","orderNum":"25026839024001998","respcd":"00","sign":"0faaf0f5e1c99f22460b58446833a0a00411e86091f7db306c4ac2ce84597b3c","terminalid":"00000001","transTime":"2017-07-13 10:40:03","txamt":"000000000001","txndir":"A"} 
拼接后的字符串 string2 为: 
bankType=CFT&busicd=PURC&channelOrderNum=4001532001201707130466979768&chcd=WXP&chcdDiscount=0.00&consumerAccount=orS1BuFv3529BkM7m_ou7wKgDuc4&errorDetail=成功&inscd=10130001&mchntid=100000000000203&merDiscount=0.00&orderNum=25026839024001998&respcd=00&terminalid=00000001&transTime=2017-07-13 10:40:03&txamt=000000000001&txndir=A 
(2)在 string2 最后直接拼接(不需要用“&”连接)双方约定的签名密钥K1(接入时后台系统侧分配),得到 stringSignTemp2 字符串。 
bankType=CFT&busicd=PURC&channelOrderNum=4001532001201707130466979768&chcd=WXP&chcdDiscount=0.00&consumerAccount=orS1BuFv3529BkM7m_ou7wKgDuc4&errorDetail=成功&inscd=10130001&mchntid=100000000000203&merDiscount=0.00&orderNum=25026839024001998&respcd=00&terminalid=00000001&transTime=2017-07-13 10:40:03&txamt=000000000001&txndir=Azsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp2 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp2)=0faaf0f5e1c99f22460b58446833a0a00411e86091f7db306c4ac2ce84597b3c 
(4)校验签名,若计算的签名与报文中获取的一致,则验签通过。


(二) 进行改造的加解签逻辑
1加签(改造后)


(1)将接口中实际全部上送的字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1 
(2)在 string1 最后直接拼接(不需要用“&”连接)双方约定的签名密钥 K1(接入时后台系统侧分配),得到 stringSignTemp1 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp1 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp1)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
(4)拼接成字符串stringResult1 = string1 + "&sign=" + sign;
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1&sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
(5)对stringResult1进行URLEncode,放在get请求QueryString中
busicd%3dPURC%26charset%3dutf-8%26inscd%3d10130001%26mchntid%3d100000000000203%26orderNum%3d1481006881300%26scanCodeId%3d130704380939251367%26signType%3dSHA256%26terminalid%3d00000001%26txamt%3d000000000001%26txndir%3dQ%26version%3d2.3.1%26sign%3d2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725




2验签(改造后)


(1)将收到get请求QueryString。 
busicd%3dPURC%26charset%3dutf-8%26inscd%3d10130001%26mchntid%3d100000000000203%26orderNum%3d1481006881300%26scanCodeId%3d130704380939251367%26signType%3dSHA256%26terminalid%3d00000001%26txamt%3d000000000001%26txndir%3dQ%26version%3d2.3.1%26sign%3d2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 
URLDecode后的字符串 string2 为: 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1&sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725
截取"sign=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725"获得报文中的签名
截取stringSRC,"busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1"
(2)在 stringSRC 最后直接拼接(不需要用“&”连接)双方约定的签名密钥K1(接入时后台系统侧分配),得到 stringSignTemp2 字符串。 
busicd=PURC&charset=utf-8&inscd=10130001&mchntid=100000000000203&orderNum=1481006881300&scanCodeId=130704380939251367&signType=SHA256&terminalid=00000001&txamt=000000000001&txndir=Q&version=2.3.1zsdfyreuoyamdphhaweyrjbvzkgfdycs 
(3)对 stringSignTemp2 字符串进行 SHA256 运算,得到签名 sign。 
sign=SHA256(stringSignTemp2)=2394af792892ffe5d1b83bb3c7842635167476f6b8f571e7d01443aa9d258725 
(4)校验签名,若计算的签名与报文中获取的一致,则验签通过。


改造签名的适用,避免客户解签出现的”签名不一致“问题。在对接过程中,出现最多的也是解签时签名不一致。

 

深圳逆时针

loong-judge
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口签名-一次API接口设计开发-
qq_34331912的博客
03-30 596
接口签名,是通过一些签名规则对参数进行签名,然后把签名的信息放入请求头部(或做为参数传递),服务端收到客户端请求之后,同样的按照已定的规则生产对应的签名串与客户端的签名信息进行对比,如果一致,就进入业务处理流程;如果不通过,就提示签名验证失败。
接口签名校验设计
kevin的博客
09-22 1227
接口签名校验设计 文章目录接口签名校验设计Why-为什么需要签名校验How-如何做签名校验签名校验JWT token生成整体设计 Why-为什么需要签名校验 API签名即对API接口的调用进行签名保护,在进行API调用的时候,加多了一个签名校验的过程,通过签名校验,才能进行接口的调用,这个签名可以理解为一个合法的调用凭证 一个签名需要做什么: 明确调用者是谁,即签名中需要带上需要带上用户标识(可以是用户UID,可以是openID等等) 明确调用者想干什么,可以日志记录签名校验失败的调用者信息和其调用接口
开放 API 接口签名验证,让你的接口从此不再裸奔
芋艿V
09-07 621
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~...
API带签名接口设计
A169388842的博客
06-22 826
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们就来讨论下常用的一些API设计的安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享. 本章目录: token简介 timestamp 简介 sign 简介 防止重复提交 使用流程 代码分享 一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识
API接口鉴权签名设计
最新发布
分享DotNet技术和日常开发笔记,DotNet,Python为主。
03-28 361
设计API接口的鉴权签名时,通常会使用一种加密算法来生成签名,以确保请求的合法性和安全性。以下是通过鉴权签名设计方案。
c#RSA-alipay接口请求签名-加密
03-25
c#RSA-alipay接口请求签名-加密,适用于服务端采用java-rsa加解密算法,客户端采用c#,把java模式下的密钥转换成c#模式密钥,公私钥加解密
行业文档-设计装置-多种接口方式的USBKey.zip
09-05
USBKey,也称为USB数字证书或USB令牌,是一种安全设备,用于存储用户的数字证书和私钥,以便在进行网络身份验证、数据加密、数字签名等安全操作时使用。USBKey通常具有硬件加密功能,能够提供比软件证书更高的安全性...
基于RSA的数字签名设计与实现(包括SHA-512对原始Message的散列)
12-02
实验课上做的小项目(包括前端界面):环境:IDEA技术框架:jsp+servlet+java有生成签名和验证签名界面目的:基于RSA的数字签名设计与实现(包括SHA-512对原始Message的散列)掌握RSA算法的基本原理,通过用RSA算法对...
接口签名算法设计、MD5签名算法
11-29
接口验签的过程与签名类似,服务端收到请求后,会重新按照同样的步骤生成签名,然后与请求中携带的签名进行对比,如果一致,则认为请求合法,否则拒绝服务。 在提供的"签名"文件中,可能包含了具体的签名工具类实现...
vwifibus10.0(带数字签名)-2019.zip
11-24
《vwifibus10.0(带数字签名)-2019.zip》是一个包含虚拟WiFi总线驱动的软件包,特别强调了该版本已经通过了数字签名验证,确保了软件的安全性和可靠性。该驱动程序主要用于支持Virtual WiFi技术,允许用户将单一...
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1607
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
Java对外接口签名(Signature)实现方案
热门推荐
学习学习学习
07-04 1万+
对外接口加密验签功能
如何设计安全可靠的开放接口---之签名(sign)
自律使我自由
05-20 4723
文章目录【如何设计安全可靠的开放接口】系列前言前置知识 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 前言 本节内容可以说是开放接口设计的关键所在,上一节在最后也提到了appId、appSecret如果没有接下来的这一步签名,将变的毫无意义,所以本节我们就来正式看看应该如何进行签名。 前置知识 首先,在介绍签名方式之前,我们必须先了解2个概念,分别是:非对称加密(比如:RSA)、摘要算法(比如:MD5)
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
shihuaizxc的博客
03-13 1197
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
后端接口签名的一点思考
一个真实、有温度的无名小卒
08-29 2371
好久没写博客了,打起字来都不知道怎么总结文字了。 首先,明白一点,接口只要暴露在公网就没有了绝对的安全,我们使用https也好,jwt也好还是签名也罢,都是将我们接口协议被攻击的成本大大增加,使得黑客或者别有用心之人去衡量攻击我们的服务收益无限接近于0,但是难度无限增大。 既然是一点思考,那么必然产生问题? 1.为什么去做签名,或者说他的好处是什么? 2.签名怎么做? 3.签名和https的区别?...
Spring Cloud 与微服务学习总结(17)—— SpringCloud Gateway API 接口安全设计(加密 、签名、安全)
科技D人生
06-23 341
简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 1973年,在英国政府通讯总部工作的数学家克利福德·柯克斯(Cliff
如何写出安全的 API 接口接口参数加密签名设计思路
weixin_30691871的博客
01-17 106
原文链接:http://blog.csdn.net/ma_jiang/article/details/53636840 转载于:https://www.cnblogs.com/gavinyyb/p/8301808.html
APP接口签名算法
tangxinzhuan
06-19 2619
以ThinkPHP5为例 /** * 生成签名 */ public static function buildSign() { $param = input('param.'); // ThinkPHP5获取所有请求参数的助手函数 unset($param['sign']); // sign字段不需要加入

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值