appid、appkey和appsecret

已于 2024-05-15 14:58:24 修改
阅读量364 收藏 6
点赞数 4
分类专栏: 笔记 文章标签: 服务器 运维
于 2024-05-15 11:20:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37962554/article/details/138854360
版权

什么是appid、appkey、appsecret

  1. appid(应用编号/应用唯一标识)

    • appid 是应用的唯一标识符,用于标识和区分不同的客户端或应用。
    • 当开发者在第三方平台上注册应用时,平台会生成一个唯一的 appid
    • 在API请求中,appid 通常作为请求参数之一,用于表明请求的发起者身份。
    • 第三方平台可以使用 appid 来识别和管理不同的应用。

  2. appkey(应用密钥/API接口验证序号)

    • appkey 类似于用户名或账号,用于验证API接入的合法性。
    • 开发者在注册应用时,第三方平台会生成一个或多个 appkey,并与 appid 关联。
    • 不同的 appkey 可以有不同的权限配置,例如只读、读写等。
    • 在API请求中,开发者需要将 appkey 作为请求参数或请求头的一部分,与 appid 一起发送。
    • 第三方平台会根据 appid 和 appkey 来验证请求的合法性,并授权相应的操作。

  3. appsecret(应用私密/私匙/API接口密钥)

    • appsecret 是与 appkey 配套使用的密码或密钥。
    • 它用于加密和解密数据,确保API请求的安全性。
    • 开发者在注册应用时,第三方平台会生成一个 appsecret,并与 appid 和 appkey 关联。
    • 在实际使用中,appsecret 不会被直接发送到客户端,而是由开发者在服务器端保存和使用。
    • 当需要验证API请求的合法性时,开发者会使用 appsecret 对请求进行签名或加密处理,并将签名或加密结果发送到第三方平台。
    • 第三方平台会使用相同的 appsecret 对接收到的签名或加密结果进行验证,以确认请求的合法性。

使用方法

  1. 向第三方服务器请求授权时,带上AppKey和AppSecret(需存在服务器端)

  2. 第三方服务器验证AppKey和AppSecret在DB中有无记录

  3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给客户端

  4. 客户端下次请求敏感数据时带上令牌

API接口开发安全性

[推荐]API接口安全性设计
参考URL: https://www.jianshu.com/p/c6518a8f4040

接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:

  1. Token授权机制
    用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。

  2. 时间戳超时机制
    用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

  3. 签名机制
    将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。签名机制保证了数据不会被篡改。

  4. 拒绝重复调用(非必须)
    客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。如果有人使用同一个URL再次访问,如果发现缓存服务器中已经存在了本次签名,则拒绝服务。如果在缓存中的签名失效的情况下,有人使用同一个URL再次访问,则会被时间戳超时机制拦截。这就是为什么要求时间戳的超时时间要设定为跟时间戳的超时时间一致。拒绝重复调用机制确保URL被别人截获了也无法使用(如抓取数据)。

签名

md5(app_secret + timestamp + appid)

Reference

API接口开发安全性,你是如何解决的
https://www.sohu.com/a/281386848_652662
[推荐]API接口安全性设计
https://www.jianshu.com/p/c6518a8f4040

开放api接口平台:appid、appkey、appsecret_西京刀客-GitCode 开源社区

ELI_He999
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php生成类似appkey,生成appkeyappSecret
weixin_39627661的博客
03-16 1777
通常情况下,这种很长一段数字字母的keysecret都是通过md5和sha1加密算法来生成的appkey的生成appkey生成比较简单,一般是客户的唯一值+字符串组成,方法很多,做到唯一性的字符串就可以。比如使用用户的uid+”abc”字符串组成。appSecret生成方法其原始数据有可能是你的账号的id,还有注册时间之类的唯一值进行组合再通过md5和sha1来生成,而md5和sha1对比的话,...
MIOT FDS功能指南-微服务1
08-03
1. 创建云服务密钥 2. 为云服务密钥授权读写权限 3. 将步骤1生成的AppIDAppKeyAppSecret信息通过邮件发送给MIOT 1. 获取上传
开放api接口平台:appidappkeyappsecret
热门推荐
西京刀客
11-22 5万+
appidappkeyappsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在数据库添加检索, 方便快速查找。 2 app_keyapp_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_ke...
AppKeyAppSecret的基本概念
最新发布
weixin_45875986的博客
03-14 563
AppKeyApplication Key的缩写,意思是应用密钥。它是一种用于验证API接入合法性的凭证,类似于用户名和密码的作用。每个AppKey都是唯一的,只能对应一个应用。AppKey通常和AppSecret(应用私密)一起使用,AppSecret是一种用于加密和解密数据的密钥,类似于密码的作用。AppKeyAppSecret都是由API接口平台提供的,应用开发者需要在平台上注册并创建应用,才能获取到AppKeyAppSecret。
云服务AppIdAppKeyAppSecret生成与使用
houxian1103的博客
12-25 3272
App keyApp Secret App key简称API接口验证序号,是用于验证API接入合法性的。接入哪个网站的API接口,就需要这个网站允许才能够接入,如果简单比喻的话:可以理解成是登陆网站的用户名。 App Secret简称API接口密钥,是跟App Key配套使用的,可以简单理解成是密码。 App KeyApp Secret 配合在一起,通过其他网站的协议要求,就可以接入API接口调用或使用API提供的各种功能和数据。 比如淘宝联盟的API接口,就是淘宝客网站开发的必要接入,淘.
每个系统都在用的appidappkeyappsecret都是什么意思?
bobozai86的博客
05-27 1万+
前言 在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。 在认证的过程中,往往会提供appidappkeyappsecret三对key-value的数据。本篇文章就带大家深入了解一下这三组认证所需数据的功能及生成。 先简单概况一下:app_id,应用的唯一标识;app_key,公匙(相当于账号);app_secret,私匙(相当于密码)。 app_id参数 app_id通常情况下指的是一个用户的
API平台都有的AppidAppkeyAppsecret分别是什么意思?
write less , do more
02-28 7849
在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。 appid appid通常情况下指的是一个用户的账号,表示一个企业或个人的账号。 该账号通常跟开通的商户实体所一一对应。通过该参数平台能找到你是谁。在接口调用的过程中很少直接使用appid,一般会配合秘钥使用。 有了统一的appid,此时如果针对同一个业务要划分不同的权限,比如同一功能,某些场景需要只读权限,某些场景需要读写权限。这样提供一个appid和对应
云服务AppIdAppKeyAppSecret生成策略(对外接口使用)
qq_36245532的博客
07-20 4356
一、App keyApp Secret App key简称API接口验证序号,是用于验证API接入合法性的。接入哪个网站的API接口,就需要这个网站允许才能够接入,如果简单比喻的话:可以理解成是登陆网站的用户名。App Secret简称API接口密钥,是跟App Key配套使用的,可以简单理解成是密码。App KeyApp Secret 配合在一起,通过其他网站的协议要求,就可以接入API接口调用或使用API提供的各种功能和数据。比如淘宝联盟的API接口,就是淘宝客网站开发的必...
AppIDAppKeyAppSecret
weixin_33806914的博客
01-24 2613
AppID:应用的唯一标识 AppKey:公匙(相当于账号) AppSecret:私匙(相当于密码) token:令牌(过期失效) 使用方法 1. 向第三方服务器请求授权时,带上AppKeyAppSecret(需存在服务器端) 2. 第三方服务器验证AppKeyAppSecret在DB中有无记录 3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器服务器再返回给客...
appkeyappSecret自动生成
自知者明,知人者智
12-24 7457
AppKey:可以认为是你申请的应用的一个唯一标识  AppSecret:你申请的应用的密钥,主要用于对请求参数签名,和对回调参数验证。  生成后的效果 private final static String[] chars = new String[]{"a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w",
如何生成一个好的appkeyappsecret
CarloPan的博客
04-13 7010
参考:https://blog.csdn.net/qq_35342627/article/details/99072520 通常情况下,这种很长一段数字字母的keysecret都是通过md5和sha1加密算法来生成的。 1. appkey的生成 appkey生成比较简单,一般是用户ID+字符串组成,方法很多,做到唯一性就可以。 2. appsecret的生成 原始数据可能是账号ID+注册时间+其他字符串,然后再通过md5或sha1加密来生成。而md5和sha1对比的话,md5比sha1更快.
jd-union-sdk:京东联盟SDK,支持swoole和fpm两种模式
05-24
'appSecret' => '', // 密钥 (京东联盟的appSecret) 'unionId' => '', // 联盟ID (如果使用京东联盟的,填京东联盟的,使用京佣的填京佣的) 'positionId' => '', // 推广位ID (如果使用京东联
直播商城小程序.zip
08-01
3、ThinkPHP\Library\Vendor\wxpay\lib\WxPay.Config.php 微信小程序的appidappsecret、mchidkey参数修改; 4、ThinkPHP\Library\Vendor\WeiXinpay\lib\WxPay.Config.php 微信小程序的appidappsecret、mchid、...
简单封装友盟第三方平台分享功能
04-06
+(BOOL)setPlatform:(UMSocialPlatformType)platform appKey:(NSString *)appKey appSecret:(NSString *)appSecret redirectURL:(NSString *)redirectURL; /** 4.获得从sso或者web端回调到本app的回调 << - ...
ShareSDK:一个共享登录的开源实现
07-13
appid,appkey,appsecret: 字符串字段,这些字段来自第三方平台; redirecturl,redirecturls: String 字段,redirecturl 优先级更高,是oauth 时的回调url; authorizeurl:字符串字段,获取oauth码的url; ...
【个人笔记】ubuntu桌面不显示(不完整)UI界面
BLOCKGOLD.E的博客
02-19 1万+
今天一开机,发现进入桌面后不显示用户栏顶栏之类的。但是部分UI依然正常,像是鼠标。右键菜单依然生效可以调出终端。尝试一:进入文本模式,重新安装ubuntu-desktop,并没有什么用处。尝试二:再次重安sudo apt-get update sudo apt-get install –reinstall ubuntu-desktop sudo apt-get install unity sudo...
【笔记】sed 替换最后出现的一个字符
BLOCKGOLD.E的博客
04-23 1万+
sed  's/\(.*\),\(.*\)/\1;\2/'   youfile将文件的最后一个,逗号改为分号;印证了贪婪匹配
tftp出现timeout
BLOCKGOLD.E的博客
01-09 1万+
使用tftp修改设置时,发现奇慢无比,原因是防火墙策略没改。 关闭防火墙或在策略中放行tftp,tftp-client.
帮我写一个好的用SM国密生成appkeyappsecret的java代码
03-21
当然,我可以帮您编写一个使用SM国密生成appkeyappsecret的Java代码。以下是示例代码: ``` import java.security.*; import javax.crypto.*; import javax.crypto.spec.*; public class SMAppKeyGenerator { private static final String ALGORITHM = "SM3withSM2"; private static final String KEY_ALGORITHM = "EC"; private static final String PROVIDER = "GM"; public static void main(String[] args) throws Exception { String appId = "your_app_id"; String appSecret = generateAppSecret(); String appKey = generateAppKey(appId, appSecret); System.out.println("AppId: " + appId); System.out.println("AppSecret: " + appSecret); System.out.println("AppKey: " + appKey); } private static String generateAppSecret() throws Exception { KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(KEY_ALGORITHM, PROVIDER); keyPairGenerator.initialize(new ECGenParameterSpec("sm2p256v1")); KeyPair keyPair = keyPairGenerator.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); byte[] encodedPrivateKey = privateKey.getEncoded(); return bytesToHexString(encodedPrivateKey); } private static String generateAppKey(String appId, String appSecret) throws Exception { byte[] appIdBytes = appId.getBytes("UTF-8"); byte[] appSecretBytes = hexStringToBytes(appSecret); byte[] data = new byte[appIdBytes.length + appSecretBytes.length]; System.arraycopy(appIdBytes, 0, data, 0, appIdBytes.length); System.arraycopy(appSecretBytes, 0, data, appIdBytes.length, appSecretBytes.length); MessageDigest messageDigest = MessageDigest.getInstance(ALGORITHM, PROVIDER); byte[] digest = messageDigest.digest(data); return bytesToHexString(digest); } private static String bytesToHexString(byte[] bytes) { StringBuilder sb = new StringBuilder(); for (byte b : bytes) { String hex = Integer.toHexString(b & 0xFF); if (hex.length() == 1) { sb.append('0'); } sb.append(hex); } return sb.toString(); } private static byte[] hexStringToBytes(String hexString) { int len = hexString.length() / 2; byte[] bytes = new byte[len]; for (int i = 0; i < len; i++) { bytes[i] = (byte) Integer.parseInt(hexString.substring(i * 2, i * 2 + 2), 16); } return bytes; } } ``` 这段代码使用了SM2算法生成了一个公私钥对,然后使用SM3withSM2算法对AppIdAppSecret进行哈希计算,得到AppKey。请注意,这里使用了Bouncy Castle作为Java加密库的提供者,因为它支持SM算法。如果您的Java环境中没有安装Bouncy Castle,您需要先下载并安装它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值