API 签名认证:AK(Access Key 访问密钥)和 SK(Secret Key 私密密钥)

于 2024-08-10 20:59:01 发布
阅读量440 收藏 3
点赞数 7
分类专栏: 微服务 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63653444/article/details/141001843
版权

API签名认证

在当今的互联网时代,API作为服务与服务、应用程序与应用程序之间通信的重要手段,其安全性不容忽视。你是否遇到过需要在HTTP请求中加入访问密钥(ak)和私密密钥(sk)的情况?是不是担心这些敏感信息会被拦截或者泄露?本文将为你解答这些疑惑,并介绍一种有效的API签名认证方法。

在这里插入图片描述

什么是AK和SK?

在云计算和API服务中,AK(Access Key 访问密钥)和 SK(Secret Key 私密密钥)是一对密钥,用于在用户和服务提供商之间进行安全认证。

  • AK(Access Key):这是一个公开的标识符,用于识别和区分不同的用户。它类似于你在银行使用的银行卡磁条上的唯一标识。服务提供商在用户注册时生成AK,并且它必须随每个请求一起发送,以便服务提供商能够识别发起请求的用户。

  • SK(Secret Key):这是一个保密的密钥,用于验证发起请求的用户身份。它可以看作是你在银行使用的PIN码,只有你自己知道。服务提供商在用户注册时生成SK,并且它不应该随请求发送,而是用于对请求进行签名,以确保请求的完整性和真实性。

首先,我们必须将 AK 和 SK 放入请求头中,但是密码 SK 绝对不能以明文形式传递。这就需要我们对密码进行加密,即所谓的签名。

加密算法有哪些?

在选择加密算法时,我们有单向加密、对称加密和非对称加密三种选择。

值得注意的是,md5的安全性较低,因此建议使用更为安全的SHA-256等算法。

签名的生成与验证

用户通过HTTP请求头中加入加密信息,浏览器会使用相同的参数进行签名生成,并与传递的参数进行对比,以确认其一致性。

以SHA-256算法为例,签名生成过程如下:

  1. 将请求的URL、请求方法、请求头、请求体等参数按照一定顺序拼接成一个字符串。
  2. 使用SHA-256算法对拼接后的字符串进行加密,得到签名。
  3. 将生成的签名放入请求头中,随请求一起发送给服务器。

服务器接收到请求后,会按照相同的参数和顺序,使用相同的SHA-256算法对请求进行签名生成。然后,服务器将生成的签名与请求头中传递的签名进行对比,以验证请求的完整性和真实性。如果两个签名一致,服务器认为请求是合法的;否则,拒绝该请求。

为什么需要AK和SK?

  1. 安全性:AK和SK提供了一种安全的方式来验证请求者的身份,确保只有拥有正确AK和SK的用户才能访问服务。由于SK是保密的,即使请求被拦截,攻击者也无法使用SK来仿造合法请求。

  2. 身份认证:服务提供商使用AK来识别请求者,而SK则用来证明请求者的身份。这种认证机制类似于我们在现实生活中使用的身份证或护照,既有身份证明,也有私密凭证。

  3. 防止滥用:AK和SK的使用可以帮助服务提供商跟踪资源的使用情况,防止未授权的访问和滥用服务。

  4. 请求签名:在发送请求时,用户会使用SK对请求进行签名。签名是一个经过特定算法处理(如HMAC-SHA-256)的请求消息,用于验证请求的完整性和来源。服务提供商收到请求后,会使用相应的SK对签名进行验证,以确保请求是合法和未被篡改的。

如何防止重放攻击?

重放攻击是指攻击者篡改并重新发送用户的请求,以此达到欺骗服务器的目的。为了防止这种攻击,我们可以:

  1. 加入随机数:后端只接受并认可该随机数一次。如果发现有相同随机数,后端会认识到该请求已经被处理过,不会再次进行处理。但这种方法的不足之处在于,需要后端额外开发来保存已使用的随机数,对于并发量大的情况,还需要其他机制来定期清理已使用的随机数。

  2. 携带时间戳:后端验证时间戳是否在指定时间范围内,比如不超过5或10分钟。控制随机数的过期时间。后端会同时验证这两个参数,只要时间戳或者随机数被使用过,就会拒绝该请求。

所以,在标准的签名认证算法中,建议至少添加以下五个参数:aceessKey、secretKey、sign、nonce(随机数)和 timestamp(时间戳),此外,建议将用户请求的其它参数,如接口中的name请求,也添加到签名中,以增加安全性。

总结

总的来说,签名认证的本质是确保密码不在服务器之间传输,避免任何可能的泄露风险。

不决问春风
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云及腾讯云通过AccessKey执行命令
02-11
阿里云及腾讯云通过AccessKey执行命令,已实现腾讯云返回命令执行结果
百度地图开发AK密钥
11-20
在使用百度地图API时,开发者需要申请一个API密钥AK),它相当于访问百度地图服务的通行证。这个密钥是独一无二的,由百度分配给每个注册开发者,用于识别和授权你的应用使用百度地图的各种功能。在描述中提到的...
阿里云ak/sk漏洞利用工具
06-27
阿里云Access KeyAK)和Secret KeySK)是阿里云用户身份验证的重要凭证,用于在API调用或SDK使用中验证用户权限。这些密钥相当于云服务的用户名和密码,因此保护它们的安全至关重要。然而,如果AK/SK被泄露或被...
海康威视OpenAPI安全认证库(python3)
09-05
海康威视的安全认证机制,特别是“签名认证”,是为了确保数据传输过程中的安全性和完整性。通常,这包括对请求参数进行哈希运算,并结合特定的密钥生成签名,服务器端会验证这个签名来确认请求的合法性。签名认证...
jquery-runabove:用于访问和使用 RunAbove API 的 jQuery 模块
06-15
jquery-runabove 用于访问和使用 API 的 jQuery 模块。 使用简单 有据可查 CommonJS/AMD 支持 ... 要使用它,您需要配置应用程序密钥AK)和应用程序密钥(AS): // Set the Application Key (AK):
【随笔】VRRP+MSTP
weixin_41997073的博客
08-06 350
VRRP 使用选择策略从路由器组中选出一台作为主控,负责 ARP 响应和 IP 数据包转发,组中的其他路由器作为备份的角色处于待命状态。当主控空路由发生故障时,备份路由器能在几秒的时间延后升级的主路由器。一个VRRP组中只能由一台处于主控角色的路由器,可以有一个或多个备份角色的路由器。开销值越低,表示该链路的传输速度越快,路由器会优先选择这些链路进行数据传输。抢占模式的意义, 当 R1 路由器中断又恢复后,则恢复 R1 的主导地位。设计采用主备模式,将VRRP组内多个路由设备都映射为一个虚拟路由设备。
网络药理学:autodock tool(mgltools)实现大分子蛋白(PDB ID已知)和小分子配体的分子快速实践流程总结
最新发布
zhiaidaidai的博客
08-08 148
这里是快速实践的流程总结版(正文步骤都需要在中进行)。pocasaPDB。
【haproxy】haproxy基本配置信息
m0_64570996的博客
08-08 926
就是通过发布三层的IP地址(MIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。Webserver1---172.25.254.10--下载ngnix!Webserver2---172.25.254.20--下载ngnix!
如何提前预防网络威胁
dexun123的博客
08-06 720
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
SpringCloud入门简介
敢问路在何方,路在脚下
08-06 432
SpringCloud是微服务治理方案之一;SpringCloud与SSM框架和SpringBoot没什么关联SSM:web应用的开发框架,包含视图层(模型model+视图view+控制器controller),业务层,持久层SpringBoot:简化SSM的配置,同时提供构建项目的脚手架。
CentOS7 VMware虚拟机基于NAT配置网络IP
记录工作中遇到的问题以及解决方案
08-05 676
平时学习时一直需要用到Linux服务器,一般都是在Windows上安装VMware来创建一个虚拟机。创建的虚拟机需要配置网络才能够访问外网,可以通过以下两种方式来配置虚拟机网络使用桥接模式要保证虚拟机的网卡和物理机能上外网网卡的网段保持一致,如果物理机的上网网段经常变化,显然桥接模式就很不合适。所以这里使用 NAT 模式,物理机和虚拟机之间的通信是通过在物理机上生成的VMware Network Adapter VMnet8虚拟网卡和虚拟机的虚拟网卡进行连接通信。
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 858
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
PXE网络部署/服务器自动部署
weixin_72619261的博客
08-05 551
PXE网络搭建,自动化部署服务器系统
介绍一个基于Ring 3 的rootkit
qq_69775412的博客
08-06 527
R77 是一个 Ring 3 rootkit,它隐藏了所有内容:文件、目录进程和 CPU/GPU 使用情况注册表项和值服务业TCP 和 UDP 连接交汇点、命名管道、计划任务。
Wake On Lan - 理论与实践[进行中...]
含光左卫的工作笔记集
08-07 257
网络唤醒。原理->代码->实现。一个可以按需穿透内网,远程打开家里电脑或者网络存储的机制。
OSPF小实验
sgdhshshhs的博客
08-07 382
【代码】OSPF小实验。
计算机网络--网络层串讲
程序员小火龙的知识分享
08-03 1158
为什么要做这个串讲?因为我在学习408网络层的时候,看完机构的视频课感觉没有很好地将知识串联起来,便找到《图解网络》作为补充,且小林的讲解是我认为开源中较为通俗易懂的,因此我在学习过程中将精华部分记录下来加上自己的理解并录制这个串讲视频帮助自己理解知识点并分享给需要的同学,如果想深入学习还需要完整地去阅读小林的文字版,我相信你会有很大的收获的!
网络安全自学笔记
2301_77160226的博客
08-07 1053
网络安全是指保护网络系统中的硬件、软件及其数据不因偶然或恶意的原因而遭到破坏、更改、泄露,保障系统连续可靠正常地运行,网络服务不中断。网络安全涵盖了众多方面,包括但不限于保护个人隐私、防止商业机密泄露、维护国家安全等。在当今数字化时代,几乎所有的信息交流和业务活动都依赖于网络,因此网络安全的重要性日益凸显。通过搭建实验环境,如使用虚拟机搭建一个包含服务器和客户端的网络,模拟各种网络攻击和防护场景,如进行 SQL 注入攻击的尝试,并实施相应的防护措施,如安装防火墙、使用加密技术等。
杭州等保测评的基础概念
weixin_62641226的博客
08-07 187
该系统共划分为五个等级,每个等级都有不同的安全需求,目的是针对不同敏感程度的信息建立相应的防护机制。在杭州这块“土地”上,“等保”测评既是防范数据泄漏和黑客攻击的“挡箭牌”,也是对企业信用的“试金石”,推动营商环境的优化,助力“数字经济”的繁荣发展。🚀等级保护测评,又称“等保测评”,是杭州这座创新型城市建设的一道重要基础,它既是一个合规要求,也是数字生态系统的捍卫者。借着“智慧城市”的东风,让我们一起揭开“等保测评”的神秘面纱,为建设一个更安全、更可靠的数字化社会作出贡献。
实现一个AK,SK签名认证方法
09-10
### 回答1: AK/SK 签名认证是一种常用的 API 认证方法,主要用于在客户端和服务端之间安全地传输数据。 实现这种认证方法的步骤如下: 1. 服务端生成一对 AK/SK 密钥对,将 AK 公开给客户端,将 SK 保密。 2. 客户端使用 AK 和一些请求参数(如时间戳、请求内容等),使用 HMAC-SHA256 算法生成签名。 3. 客户端将 AK签名和请求参数一起发送给服务端。 4. 服务端使用自己保存的 SK 和收到的请求参数,使用 HMAC-SHA256 算法生成签名。 5. 服务端比较客户端发来的签名和自己生成的签名是否相同,如果相同,则认为请求是可信的,否则认为请求是不可信的。 实现 AK/SK 签名认证的具体方法可能会因为不同的编程语言和使用的库而有所差异,具体实现可以参考相关文档和代码示例。 ### 回答2: AKSKAccess KeySecret Key的缩写,是一种常见的签名认证方法,通常用于身份验证和授权访问。下面是一个实现AKSK签名认证方法的简要步骤: 1. 生成AKSK:首先,生成一对用于身份验证和授权访问AKSKAK是用于唯一标识用户身份的访问密钥,而SK则是用于加密和验证请求的私密密钥。确保AKSK的安全性,避免泄露给未授权的第三方。 2. 加密传输:在请求数据传输过程中,使用SK对请求进行加密。可以使用加密算法如HMAC(Hash-based Message Authentication Code)或者其他安全加密算法,对请求进行签名加密,以验证请求的完整性和真实性。 3. 请求验证:接收到请求后,服务器会使用相同的加密算法和SK对请求进行解密和验证。比对解密后的签名和请求中的AK是否匹配,以验证请求的合法性。如果AK签名验证通过,则表示请求来自合法用户。 4. 授权访问:经过身份验证和请求验证后,服务器可以根据用户的AKSK授权对资源进行访问。可以根据用户的权限设置,限制或允许用户访问不同的资源和操作。 通过AKSK签名认证方法,可以有效保护用户的身份安全和数据安全,防止未授权的访问和篡改请求。同时,配合其他安全措施如HTTPS传输,可以提供更加安全可靠的身份验证和访问控制机制。 ### 回答3: AKSK是一种常用的身份认证方式,在API调用中用来验证请求的合法性。AKAccess Key的缩写,是一个唯一的标识符;SKSecret Key的缩写,是与AK相对应的私密密钥。下面是一个简单的AKSK签名认证方法的实现步骤。 首先,生成AKSKAKSK需要通过安全的方式生成,通常是由系统管理员或者服务提供商进行分发。AK作为用户唯一的身份标识,SK作为保密的私钥。 接下来,在API请求中加入认证信息。在每个API请求中,需要添加认证信息,通常包括AK、时间戳、随机数等参数。其中,AK是用于标识用户身份的,时间戳用于验证请求的时效性,随机数用于增加安全性。 然后,对API请求进行签名签名是使用SK对请求参数进行加密处理的过程。具体步骤如下: 1. 将请求参数按照字母顺序排列,拼接成字符串。 2. 将拼接好的字符串与SK进行拼接。 3. 使用哈希算法(如MD5、SHA1等)对拼接后的字符串进行加密,生成签名。 4. 将签名添加到API请求中的认证信息中。 最后,服务端验证签名的有效性。服务端接收到API请求后,按照相同的规则进行签名验证,验证的过程如下: 1. 获取API请求中的AK、时间戳、随机数等参数。 2. 根据AK获取对应的SK。 3. 根据API请求中的参数和SK进行签名操作,得到签名值(server_sign)。 4. 将API请求中的签名值(client_sign)与server_sign进行对比。如果一致,则认证成功;否则,认证失败。 通过以上步骤,可以实现AKSK签名认证方法。这种方法可以有效防止API请求的伪造和篡改,提高系统的安全性。同时,AKSK的随机生成和保密也是确保身份认证的重要因素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值