API 签名认证

已于 2024-02-02 16:17:41 修改
阅读量846 收藏 6
点赞数 7
分类专栏: Java LeAPI - 后端 文章标签: java 安全
于 2024-02-01 23:10:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74059961/article/details/135982332
版权

目录

一、什么是 API 签名认证?

二、为什么需要 API 签名认证?

三、如何实现 API 签名认证?

四、API 签名认证的六个参数

附:对称加密、非对称加密和单向加密

一、什么是 API 签名认证?

1. 用于验证 API 请求的安全机制

2. 作用

  • 确保只有经过授权的用户或应用程序能访问 API
  • 防止未经授权的访问和数据篡改

二、为什么需要 API 签名认证?

1. 限制接口的调用者、调用次数

2. 提高 API 的安全性

三、如何实现 API 签名认证?

核心:签发签名和校验签名

  •  accessKey:调用的标识
  •  secretKey:密钥

1. 客户端准备请求:客户端构建API请求,并收集所有必要的参数,如请求方法、URL、时间戳、身份凭证等。

2. 参数排序:将请求参数按照一定的规则进行排序,通常是按参数名称的字母顺序进行排序。

3. 生成待签名字符串:将排序后的参数按照一定的格式拼接成一个待签名的字符串。

4. 添加密钥:将密钥(一般是客户端的私钥)加入待签名字符串中。

5. 计算签名:使用特定的加密算法(如HMAC-SHA1、HMAC-SHA256等)对待签名字符串进行加密,生成签名。

6. 发送请求:将生成的签名添加到API请求中的特定位置(如请求头或请求参数)。

7. 服务器端验证签名:服务器端收到请求后,会使用相同的算法和密钥对接收到的参数进行签名计算。然后将服务器端计算得到的签名与请求中的签名进行比对,如果一致,则验证通过;否则,验证失败。

1. 客户端在请求头中携带 accessKey 和 secretKey 发送请求给服务端

2. 服务端从请求头中取出参数进行校验

  • 客户端携带参数
    /**
     * 将参数添加到请求头 map
     * @return
     */
    private Map<String, String> headerMap(String body) {
        HashMap<String, String> hashMap = new HashMap<>();
        hashMap.put("accessKey", accessKey);
        // 一定不能发送给后端!
//        hashMap.put("secretKey", secretKey);
        hashMap.put("nonce", RandomUtil.randomNumbers(5));
        hashMap.put("body", body);
        hashMap.put("timestamp", String.valueOf(System.currentTimeMillis() / 1000));
        hashMap.put("sign", SignUtil.genSign(body, secretKey));
        return hashMap;
    }
  • 服务端校验参数
  • 使用同一套加密算法 / 签名生成算法
package com.ghost.leapiinterface.utils;

import cn.hutool.crypto.digest.DigestAlgorithm;
import cn.hutool.crypto.digest.Digester;

/**
 * 签名生成工具类
 * @author 乐小鑫
 * @version 1.0
 * @Date 2024-02-02-15:43
 */
public class SignUtil {
    /**
     * 使用 MD5 加密算法生成签名
     * @param body 用户参数
     * @return 签名
     */
    public static String genSign(String body, String secretKey) {
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String str = body.toString() + "." + secretKey;
        return md5.digestHex(str);
    }
}

    @PostMapping("/user")
    public String getNameByJSON(@RequestBody User user, HttpServletRequest request) {
        // 获取请求头中携带的参数,校验调用接口的权限
        String accessKey = request.getHeader("accessKey");
//        String secretKey = request.getHeader("secretKey");
        String nonce = request.getHeader("nonce");
        String body = request.getHeader("body");
        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");
        // TODO 实际上要从数据库查是否已分配给用户
        if (!accessKey.equals("ghost")) {
            throw new RuntimeException("无权限");
        }
        // 校验随机数
        if (nonce.length() > 5) {
            throw new RuntimeException("无权限");
        }

        // TODO 校验时间戳 timestamp:和当前时间不能超过 5 min
        // 和客户端使用同一套加密算法进行校验
        String serverSign = SignUtil.genSign(body, "abcdefg");// 实际上要从数据库中取出数据进行校验
        if (!serverSign.equals(sign)) {
            throw new RuntimeException("无权限");
        }
//        System.out.println("getNameByJSON 被调用,accessKey: " + accessKey + "; secretKey:" +secretKey);
        return "POST 你的名字是:" + user.getUsername();
    }

四、API 签名认证的六个参数

1. 用户标识 accessKey

2. 密钥 secretKey:不能传递给后端❗

3. 用户参数

4. 签名 sign

5. 随机数 防重放

6. 时间戳 timeStamp

附:对称加密、非对称加密和单向加密

1. 对称加密

  • 对称加密使用相同的密钥对数据进行加解密
  • 发送方和接收方必须事先共享密钥,否则无法进行加解密
  • 常见的对称加密算法:DES、3DES、AES 等
  • 适用场景:适用于数据传输量较大、安全性要求不是特别高的场景

2. 非对称加密

  • 非对称加密则使用一对不同的密钥进行加解密,分别称为公钥和私钥
  • 公钥可以公开,任何人都可以使用它对数据进行加密
  • 私钥只能由密钥持有人保管,并用于解密数据
  • 常见的非对称加密算法:RSA、DSA 等
  • 适用场景:适用于对数据安全性要求较高的场景,例如数字签名、身份认证等

3. 单向加密

  • 只能对数据进行加密,而无法逆向解密回原始数据
  • 举例:哈希函数
    • 相同的输入始终产生相同的哈希值
    • 即使输入数据发生微小变化,哈希值也会发生巨大变化
    • 无法从哈希值推导出原始输入数据
  • MD5、SHA-256 加密算法也是单向加密

举个例子,常见的哈希函数是 MD5 和 SHA-256。假设我们对字符串 "Hello, World!" 进行 MD5 哈希,得到的哈希值是 "65a8e27d8879283831b664bd8b7f0ad4"。无论我们多少次对这个字符串进行 MD5 哈希运算,都会得到相同的哈希值。但是,如果我们只知道哈希值 "65a8e27d8879283831b664bd8b7f0ad4",是无法确定原始的字符串是 "Hello, World!" 的。

乐小鑫
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
聊聊 API 签名方式
Karka_的博客
12-31 835
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
API签名认证
最新发布
qq_64376339的博客
05-30 466
定义:API签名认证是一种安全机制,通过为每个请求生成一个唯一的签名值来验证其合法性。作用身份验证:验证请求发送者的身份是否合法。防止篡改:确保请求在传输过程中没有被篡改。防止重放攻击:防止攻击者重复发送之前截获的合法请求。
API接口签名验证
qq_25046827的博客
03-01 4583
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API签名认证讨论
csy
03-06 225
API签名认证
API 接口签名验签
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
api签名认证
weixin_30814223的博客
11-23 103
参数列表: data: { sign, uid或是openId, version, timestamp, param } sign 签名一般情况下,根据如下几项生成,通过md5或是aes加密: 接口 url 时间戳 timestamp 用户 Id 或是 微信openId 接口参数 paramStr 一般...
Java API接口签名认证
wFitting的博客
11-13 4974
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 2734
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
开放API接口签名验证方式(开放平台+APP)
DDDDeng_的博客
07-22 1565
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA; 在stringA最后拼接上Se
api 接口调用,签名验证方法总结 Token
David_jiahuan的博客
05-27 4132
服务端开发了一个接口,客户端来调用这个接口,常用的方法有: 一、get请求,直接将需要的参数写在url链接里面: http://api.services.com/queryDatas?param_1=value_1&param_2=value_2... 这种方式虽然简单直接,但是容易被别人任意调用来获取相关的数据信息; 二、将参数和安全密钥拼接后进行签名,然后调用接口的方式: 1、客户端申请调用服务,然后服务端给客户端分配对应的 accesskey 和 secretKey; 2、用户.
API 接口参数签名的几种方案
热门推荐
Asurplus
09-26 2万+
在涉及跨系统接口调用时,我们容易碰到以下安全问题:请求身份被伪造、请求参数被篡改、请求被抓包,然后重放攻击
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1710
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值