API签名认证

最新推荐文章于 2024-09-11 06:07:26 发布
最新推荐文章于 2024-09-11 06:07:26 发布
阅读量459 收藏 11
点赞数 7
分类专栏: 项目亮点 文章标签: springboot spring java java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64372868/article/details/138229035
版权

文章目录

API签名认证讲解(为何6个参数)

什么是签名认证

使用accessKey,secretKey,来实现,签名认证,在调用接口的时候,通过这种签名认证的方式来防止用户进行恶意的刷接口。类似于使用腾讯云登第三方接口的认证。也可以将 accesskey 和 secretKey 比喻成类似与用户名与用户密码。

保证安全性的使用

一般规范由以下参数实现

通过 http request Header 头传递参数

参数1: accessKey 调用的标识(复杂,无序,无规律)

参数2:secretKey 密钥 (复杂,无序,无规律) 该参数不传递

因为我们的请求可能被人拦截,而我们把密码放进请求头里面,可能会被别人获取千万不能把密钥直接在服务器之前传递

一般是根据密钥,生成签名sign

所以要加入参数3,参数4,签名sign

参数3: 用户请求参数 body

参数4: sign 签名 —> 由 secertKey + 用户请求参数(body) 生成= sign (使用md5加密)

sign =( 用户参数 + 密钥 ) 使用签名生成算法(md5,HMac,Sha1)

例如 dzjhfakhjad = abc + abcdefgh

加密方式:

  1. 对称加密
  2. 非对称加密
  3. md5签名(不可解密) 最安全

可以使用hutool工具包的工具类。

怎么防重放?

  1. 加nonce随机数 只能用一次,一次后就失效
  2. 服务端要保存用过的随机数
  3. 加timestamp 时间戳,校验它的有效期

参数5:nonce 随机数 只能用一次 服务端要保存用过的随机数 ,留存下来。使用过的就不能再使用了。

参数6:timestamp 时间戳,校验它的有效期 5分钟内有效

服务端校验方式:

服务端用一模一样的参数和算法去生成签名,只要和用户传的一致,就表示密钥一致

综合上述,在请求头中会添加五个参数

  1. accessKey
  2. secretKey ,不传递
  3. body,用户请求参数
  4. sign,body + secretKey -》md5加密 -》sign
  5. nonce,随机数
  6. timestamp,时间戳

我是小辉,24 届应届毕业生。当下是找工作ing,欢迎关注,持续分享。

Java编程小辉
关注
专栏目录
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
api接口不再裸奔——签名认证
漫漫长途,终有回转;余味苦涩,终有回甘
02-17 1664
在第三方调用api接口的时候,可能会存在以下几个问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 解决上述三个问题分为如下流程 1、合法性,通过请求许可来进行判断 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 目前广泛使用token和AccessKey作用一样,都是第三方合法性的认证标示 ...
API 签名认证_api签名认证
最新发布
2401_86951318的博客
09-11 335
客户端准备请求:客户端构建API请求,并收集所有必要的参数,如请求方法、URL、时间戳、身份凭证等。参数排序:将请求参数按照一定的规则进行排序,通常是按参数名称的字母顺序进行排序。生成待签名字符串:将排序后的参数按照一定的格式拼接成一个待签名的字符串。添加密钥:将密钥(一般是客户端的私钥)加入待签名字符串中。计算签名:使用特定的加密算法(如HMAC-SHA1、HMAC-SHA256等)对待签名字符串进行加密,生成签名。发送请求:将生成的签名添加到API请求中的特定位置(如请求头或请求参数)。
API 签名认证
m0_74059961的博客
02-01 968
介绍了什么是 API 签名认证、为什么需要 API 签名认证以及如何实现 API 签名认证签名认证普遍需要六个参数,加密算法中的对称加密、非对称加密和单向加密并举出案例进行说明辅助理解
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 2918
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1849
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
API签名验证
08-01
在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
js调用阿里云api签名算法
04-09
最近需要调用阿里云视频点播相关接口,在网上没找到js的实现,自己写的,在js中实现了阿里云的公共参数签名算法。用到了第三方的CryptoJS做HmacSHA1加密,下载后,需要把你的阿里云key和密钥填进去
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,安全认证是至关重要的一步,它确保了只有授权的用户或应用程序可以访问受保护的资源。本源码提供了一个完整的安全认证解决方案,适用于RESTful服务。下面将详细介绍其中涉及的关键知识点。 1. ...
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
基于Laravel 8.x的API接口签名认证系统.7z
05-06
带领同学们认识Laravel用户认证的两大核心要素,守卫者与数据提供者,并从源码层面分析用户认证中涉及到的核心概念,通过基于接口签名认证逻辑,带领同学们实现自定义守卫者以及签名认证器,实现基于签名认证的...
PHP开发API接口签名生成及验证操作示例
10-15
API接口开发中,签名生成和验证是确保数据安全性和防止篡改的重要环节。本文将深入探讨PHP中如何实现这一功能,结合实例详细解析签名生成及验证的操作步骤。 首先,API接口签名的主要目的是为了保证请求的完整性...
API接口签名验证
qq_25046827的博客
03-01 4820
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API签名认证详解
m0_65056636的博客
07-06 1136
极其重要,严格保密secretKey只有客户端和服务端所知道,但是不参与请求,服务端存在 accessKey -> secretKey 的关系。
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java编程小辉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值