API 签名认证_api签名认证(2),【工作经验分享】

于 2024-04-08 21:19:00 发布
阅读量1k 收藏 22
点赞数 18
分类专栏: 2024年程序员学习 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60452141/article/details/137524262
版权
  • 客户端携带参数

/**

  • 将参数添加到请求头 map

  • @return
    */
    private Map<String, String> headerMap(String body) {
    HashMap<String, String> hashMap = new HashMap<>();
    hashMap.put(“accessKey”, accessKey);
    // 一定不能发送给后端!
    // hashMap.put(“secretKey”, secretKey);
    hashMap.put(“nonce”, RandomUtil.randomNumbers(5));
    hashMap.put(“body”, body);
    hashMap.put(“timestamp”, String.valueOf(System.currentTimeMillis() / 1000));
    hashMap.put(“sign”, SignUtil.genSign(body, secretKey));
    return hashMap;
    }

  • 服务端校验参数

  • 使用同一套加密算法 / 签名生成算法

package com.ghost.leapiinterface.utils;

import cn.hutool.crypto.digest.DigestAlgorithm;
import cn.hutool.crypto.digest.Digester;

/**

  • 签名生成工具类
  • @author 乐小鑫
  • @version 1.0
  • @Date 2024-02-02-15:43
    /
    public class SignUtil {
    /    *
  • 使用 MD5 加密算法生成签名
  • @param body 用户参数
  • @return 签名
    */
    public static String genSign(String body, String secretKey) {
    Digester md5 = new Digester(DigestAlgorithm.MD5);
    String str = body.toString() + “.” + secretKey;
    return md5.digestHex(str);
    }
    }

@PostMapping(“/user”)
public String getNameByJSON(@RequestBody User user, HttpServletRequest request) {
// 获取请求头中携带的参数,校验调用接口的权限
String accessKey = request.getHeader(“accessKey”);
// String secretKey = request.getHeader(“secretKey”);
String nonce = request.getHeader(“nonce”);
String body = request.getHeader(“body”);
String timestamp = request.getHeader(“timestamp”);
String sign = request.getHeader(“sign”);
// TODO 实际上要从数据库查是否已分配给用户
if (!accessKey.equals(“ghost”)) {
throw new RuntimeException(“无权限”);
}
// 校验随机数
if (nonce.length() > 5) {
throw new RuntimeException(“无权限”);
}

// TODO 校验时间戳 timestamp:和当前时间不能超过 5 min
// 和客户端使用同一套加密算法进行校验
String serverSign = SignUtil.genSign(body, “abcdefg”);// 实际上要从数据库中取出数据进行校验
if (!serverSign.equals(sign)) {
throw new RuntimeException(“无权限”);
}
// System.out.println("getNameByJSON 被调用,accessKey: " + accessKey + “; secretKey:” +secretKey);
return “POST 你的名字是:” + user.getUsername();
}

四、API 签名认证的六个参数

  1. 用户标识 accessKey

  2. 密钥 secretKey:不能传递给后端❗

  3. 用户参数

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

码讲义、实战项目、讲解视频,并且后续会持续更新**

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-d2JXf2zM-1712582325458)]

前端收割机
关注
  • 18
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot API加签
weixin_43273174的博客
07-22 739
API 加签规则
共享API对接加签验签文档及工具类
最新发布
九离的博客
12-26 664
当我们在设计共享API时,需要对用户的请求进行校验,这时候可以采用加签验签的方式。以下文档为对接示例;文档使用面向的对象与项目范围私钥:​ 请求方接入之前需要生成对应的公私钥,私钥请求方保存,公钥提供给平台;​ 调用接口,传入appId,nonce,timestamp,appSign,param参数,获取数据。请求方调用接口**请求方式:**POST请求地址:请求参数: 参数说明:返回结果:参数说明:13位随机字符串,包含数字、英文字符、区分大小写13位时间戳对原始请求体中param的json参数使用SM3
【项目】API接口的加签和验签
雨下一整晚real的博客
09-10 4051
接口的安全性,和网络是分不开的。所以大多数情况下,还是需要考虑网络环境的安全性。提到的解决方案,也有很多思想借鉴于网络协议。API接口入门(二):API接口的签名验签和加解密原理API 接口签名验签_新猿一马的博客-CSDN博客_接口签名
谈谈HTTPS演变过程
weiwenhou的博客
10-02 293
前言本文谈谈HTTPS设计演变过程,希望对大家理解HTTPS有帮助,有不对的地方欢迎指出。密码学基础知识在讨论HTTPS之前,需要掌握一些密码学基础概念。明文、密文、密钥...
Api接口加签验签
weixin_34074740的博客
03-22 1694
加密传参流程 每个接口固定参数timestamp,appkey,sign参数必传! 1. 参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式 (即key1=value1&key2=value2…) 注:时间戳timestamp和appkey参数也参与排序并url拼接 最终拼接得到字符串stringA 2. 在string...
Java_api.rar_JAVA API接口
09-14
`Java_api参考书`可能是包含详细API说明的电子书籍或文档,涵盖了每个类和接口的功能、方法签名、使用示例等。这些文档通常按照包的层次结构进行组织,便于查找特定的功能。例如,`java.util`包包含了集合框架、日期...
js微信分享API共8页.pdf.zip
10-31
2. 配置签名:调用微信服务器获取签名签名数据包括URL、NonceStr(随机字符串)和Timestamp(时间戳)。 3. 注册API:使用`wx.config`方法配置微信JS-SDK,包括appID、timestamp、nonceStr、signature等信息。 4. ...
电信物联网开发者平台北向API_DEMO源码,已实现所有API接口,都有例子
03-27
- 在线社区和论坛,如Stack Overflow,可找到其他开发者的经验分享和问题解答。 通过深入学习和实践这个DEMO源码,开发者能够掌握电信物联网平台的基本操作,从而高效地将设备数据集成到自己的云平台,实现物联网...
Arc_api
02-20
用户可以通过论坛、邮件列表或GitHub上的问题追踪系统寻求帮助或分享经验。 总的来说,尽管我们无法提供关于Arc_api的详细信息,但可以肯定的是,它作为一个Python库,其核心目标是为开发者提供方便、高效的功能,...
okex v5 api,包含了大部分功能,交易,账户操作,查询等
08-18
- 提到查看博客内容可能意味着作者分享了如何使用其二次处理的方法或经验,这对于初学者来说是非常有价值的资源,可以从中学习到API的实际应用技巧。 5. **注意事项**: - API调用频率限制:OKEX为了防止滥用,会...
开放api接口签名验证
weixin_30527143的博客
03-30 2085
在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
接口加签方案
weixin_34247032的博客
05-06 1106
2019独角兽企业重金招聘Python工程师标准>>> ...
开放API接口签名验证,让你的接口从此不再裸奔
热门推荐
只有那些疯狂到认为自己可以改变世界的人,才可以真的改变世界
02-03 4万+
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使
API接口防篡改(加签、验签)原理
th1996的博客
05-13 3753
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.csdn.net/claram/article/details/98184448
API 安全之接口验签(后台验签 + 前台加签
ws - 兮的博客空间
01-12 3577
一、后台验签 1、后台验签工具类 接口验签方法: Map<String, String> verifyMap = SignUtil.toVerifyMap(request.getParameterMap(), false); SignUtil.verify(verifyMap) 前端加签规则: 签名参数字符串“参数=参数值”&链接 后台加签方法: String signStri...
API接口加密、加签逻辑实现思路
wu_Dream的博客
05-10 329
1、对外接口的安全策略实现
【转载】利用md5加密实现API接口的加签验签
t194978的博客
03-25 2721
1、背景 我现在有几个公开的接口需要开放给第三方厂商,第三方厂商通过调用我的接口获取数据,由于这些接口放开了登录的拦截,而且是直接暴露在公网上的,因此想给这几个接口加上权限的验证,即加签验签。 2、技术选型 通过某歌和某度查找资料,以及向一些博主、论坛、微信群、QQ群请教…发现...
Java Http接口加签、验签操作
木头若愚
10-11 1万+
1、业务背景 最近接触了一些电商业务,发现在处理电商业务接口时,比如淘宝、支付类接口,接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2、处理思路 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值