API签名认证

最新推荐文章于 2024-07-06 18:29:46 发布
最新推荐文章于 2024-07-06 18:29:46 发布
阅读量232 收藏 1
点赞数 1
文章标签: java 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62963408/article/details/134712129
版权

API签名认证算法

为什么需要用到API签名认证算法?

API签名认证算法主要用于确保API请求的合法性参数的完整性以及防止重放攻击

比如我们在调用图床服务的时候,其实图传服务端就是使用了API签名认证算法,我们每次调用API的时候,本地的SDK会第一次为我们请求签名,当签名发送到服务端的时候

什么是重放攻击?

在这里插入图片描述

假如你的请求在通过一个代理服务器的时候被拦截了,攻击者可以在浏览器重复发起你之前发过的请求

为什么不能使用Token替代API签名认证?

  1. Token无法保证请求的完整性,Token内包含用户身份和访问权限信息,在传输过程中可能被截获并篡改,API签名认证后即使请求被篡改了也可以校验出来

  2. Token无法防范重放攻击

在实际应用中,很多系统会同时使用Token和API签名认证算法,以综合利用它们的优势。Token用于身份验证和授权,而API签名认证算法用于确保请求的完整性和安全性。这样的组合可以提供更全面的安全保障,特别是在处理敏感数据或执行重要业务逻辑的情况下。

签名流程
  1. 在用户在本地客户端对Body和SK进行MD5加密,将AK、serverSign(签名)、请求参数发送到网关层
  2. 网关层根据AK获取到SK,根据在客户端一样的签名流程,将加密出的签名与客户端上传的签名作比较,如果不相同,说明签名遭到了篡改,拒绝服务的请求
签名实现

签名的实现需要以下参数

accessKey(用户标识)

作用:识别用户身份

secretKey(用户密钥)

作用:结合accessKey,判断用户是否具有请求权限,不再请求中携带

sign(签名)

sign一般会使用单向加密算法实现,例如MD5,具体内容为MD5(请求体 + secretKey + timestamp)

作用:对请求签名,防止请求被篡改

timestamp(时间戳)

要注意客户端与服务端的时间差问题

作用:发起请求的时间,如果请求超过发起请求的5分钟,就判定请求失败

nonce(随机数)

作用:请求唯一标识,防止重放攻击,一般使用UUID实现,存储在服务端,配合timestamp使用,可以存放在缓存Redis中,超过timestamp时间就删除nonce

实操
客户端(SDK)
/**
 * 构造访问API的请求头
 */
public Map<String, String> getHeaderMap(String body) {
    Map<String, String> headerMap = new HashMap<>();
    headerMap.put("accessKey", accessKey);
    headerMap.put("nonce", RandomUtil.randomNumbers(12));
    headerMap.put("body", body);
    headerMap.put("timestamp", String.valueOf(System.currentTimeMillis() / 1000));
    headerMap.put("sign", SignUtil.getSign(body, secretKey));
    return headerMap;
}

/**
*加密工具类
*/
public class SignUtil {
    public static String getSign(String body, String secretKey) {
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String content = body.toString() + "." + secretKey;
        return md5.digestHex(content);
    }
}
// 调用服务端API
public String getUserNameByPost(User user) {
        String json = JSONUtil.toJsonStr(user);
        String result2 = HttpRequest.post(GATE_WAY_HOST + "/api/name/user").addHeaders(getHeaderMap(json))
                .body(json)
                .execute().body();
        System.out.println(result2);
        return "Post用户的名字是:" + result2;
    }
服务端(网关层)
@Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1. 请求日志
        ServerHttpRequest request = exchange.getRequest();
        String path = INTERFACE_HOST + request.getPath().value();
        String method = request.getMethod().toString();
        log.info("请求唯一标识:" + request.getId());
        log.info("请求路径:" + path);
        log.info("请求方法:" + method);
        log.info("请求参数:" + request.getQueryParams());
        String sourceAddress = request.getLocalAddress().getHostString();
        log.info("请求来源地址:" + sourceAddress);
        log.info("请求来源地址:" + request.getRemoteAddress());
        ServerHttpResponse response = exchange.getResponse();
        // 3. 用户鉴权(判断 ak、sk 是否合法)
        HttpHeaders headers = request.getHeaders();
        String accessKey = headers.getFirst("accessKey");
        String nonce = headers.getFirst("nonce");
        String timestamp = headers.getFirst("timestamp");
        String sign = headers.getFirst("sign");
        String body = headers.getFirst("body");
        // 去数据库根据accessKey查询用户
        User invokeUser = null;
        try {
            invokeUser = innerUserService.getInvokeUser(accessKey);
        } catch (Exception e) {
            log.error("getInvokeUser error", e);
        }
        if (invokeUser == null) {
            return handleNoAuth(response);
        }

        // 时间和当前时间不能超过 5 分钟
        long currentTime = System.currentTimeMillis() / 1000;
        final long FIVE_MINUTES = 60 * 5L;
        if ((currentTime - Long.parseLong(timestamp)) >= FIVE_MINUTES) {
            return handleNoAuth(response);
        }

        // 校验nonce, 判断是否是重放攻击
        boolean nonceExisted = Boolean.TRUE.equals(redisTemplate.hasKey(SIGN_KEY + nonce + timestamp));
        if (nonceExisted) {
            return handleNoAuth(response);
        }
        // 从数据库中查出 secretKey与加密后的字符进行比较
        String secretKey = invokeUser.getSecretKey();
        String serverSign = SignUtil.getSign(body, secretKey);
        if (sign == null || !sign.equals(serverSign)) {
            return handleNoAuth(response);
        }

        // 4. 请求的模拟接口是否存在,以及请求方法是否匹配
        InterfaceInfo interfaceInfo = null;
        try {
            interfaceInfo = innerInterfaceInfoService.getInterfaceInfo(path, method);
        } catch (Exception e) {
            log.error("getInterfaceInfo error", e);
        }
        if (interfaceInfo == null) {
            return handleNoAuth(response);
        }
        // todo 是否还有调用次数
        // 5.判断用户是否还有调用次数
        boolean hasInvokeNum = innerUserInterfaceInfoService.hasInvokeNum(interfaceInfo.getId(), invokeUser.getId());
        if (!hasInvokeNum) { // 没有调用次数
            return handleNoAuth(response);
        }

        // 将nonce存入redis, 设置超时时间为5min
        redisTemplate.opsForValue().set(SIGN_KEY + nonce + timestamp, nonce, FIVE_MINUTES, TimeUnit.SECONDS);
        // 5. 请求转发,调用模拟接口
        return handleResponse(exchange, chain, interfaceInfo.getId(), invokeUser.getId());

    }
沉淀的老山羊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
认证鉴权与API权限控制在微服务架构中的设计与实现
如果频繁就私信一下呢
09-09 290
1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于Session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览器,还包括其他服务的调用时,单体应用架构下的鉴权方式就不是特别合适了。在微服务架构下,要考虑外部应用接入的场景、用户–服务的鉴权、服务–服务的鉴权等多种鉴权场景。 比如用户A访问User Service,A如果未
API POST加上token认证
qq_35148205的博客
03-01 4457
api post工具使用
API签名认证详解
最新发布
m0_65056636的博客
07-06 1001
极其重要,严格保密secretKey只有客户端和服务端所知道,但是不参与请求,服务端存在 accessKey -> secretKey 的关系。
api签名算法
zm_0419的博客
03-16 679
api签名算法
API 签名认证
m0_74059961的博客
02-01 910
介绍了什么是 API 签名认证、为什么需要 API 签名认证以及如何实现 API 签名认证签名认证普遍需要六个参数,加密算法中的对称加密、非对称加密和单向加密并举出案例进行说明辅助理解
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
API签名验证
08-01
在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,安全认证是至关重要的一步,它确保了只有授权的用户或应用程序可以访问受保护的资源。本源码提供了一个完整的安全认证解决方案,适用于RESTful服务。下面将详细介绍其中涉及的关键知识点。 1. ...
http basic authentication通过post方式访问api示例分享 basic认证示例
09-04
在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供以用户名和口令形式的凭证,这篇文章主要介绍了http basic authentication通过post方式访问api示例,大家参考使用吧
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
阿里云API网关(17)签名算法
weixin_33724059的博客
07-26 1218
网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、前端签名    文档...
API 签名算法以及 EdDSA 的 Ed25519 签名算法的使用
m0_61591135的博客
04-25 1127
API 签名算法以及 EdDSA 的 Ed25519 签名算法的使用
api postmain 鉴权_认证鉴权与API权限控制在微服务架构中的设计与实现(二)
weixin_39628342的博客
12-18 132
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第二篇,本文重点讲解用户身份的认证与token发放的具体实现。本文篇幅较长,对涉及到的大部分代码进行了分析,可收藏于闲暇时间阅读,欢迎订阅本系列文章。1. 系统概览在上一篇认证鉴权与API权限控制在微服务架构中的设计与实现(一)介绍了该项目的背景以及技术调研与最后选型,并且对于最终实现的endpoint执行结果进行展示。对...
API签名认证讨论
csy
03-06 233
API签名认证
API接口认证
weixin_34297300的博客
10-30 325
之前写过一篇文章《简单API的实现》,这篇文章说明了通过api方式把数据传递给服务端处理,但这过程中没有认证功能,无论谁发任何内容,都一并接收,这样明显存在不安全性,这篇文章在原来的基础上,添加了接口认证功能,实现如下:接口认证方式:方式一:客户端:通过定义密钥将密钥加密发送给服务端服务端:服务端定义相同的密钥通过相同的加密算法,得到一个值把服务端加密后的值和客户端发送过来的...
api签名认证原来如此简单
carrot11223的博客
04-23 782
api签名认证,什么是accessKey,secretKey?这看完你不会我倒立!
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值