API 签名认证

已于 2024-02-02 16:17:41 修改
阅读量841 收藏 6
点赞数 7
分类专栏: Java LeAPI - 后端 文章标签: java 安全
于 2024-02-01 23:10:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74059961/article/details/135982332
版权

目录

一、什么是 API 签名认证?

二、为什么需要 API 签名认证?

三、如何实现 API 签名认证?

四、API 签名认证的六个参数

附:对称加密、非对称加密和单向加密

一、什么是 API 签名认证?

1. 用于验证 API 请求的安全机制

2. 作用

  • 确保只有经过授权的用户或应用程序能访问 API
  • 防止未经授权的访问和数据篡改

二、为什么需要 API 签名认证?

1. 限制接口的调用者、调用次数

2. 提高 API 的安全性

三、如何实现 API 签名认证?

核心:签发签名和校验签名

  •  accessKey:调用的标识
  •  secretKey:密钥

1. 客户端准备请求:客户端构建API请求,并收集所有必要的参数,如请求方法、URL、时间戳、身份凭证等。

2. 参数排序:将请求参数按照一定的规则进行排序,通常是按参数名称的字母顺序进行排序。

3. 生成待签名字符串:将排序后的参数按照一定的格式拼接成一个待签名的字符串。

4. 添加密钥:将密钥(一般是客户端的私钥)加入待签名字符串中。

5. 计算签名:使用特定的加密算法(如HMAC-SHA1、HMAC-SHA256等)对待签名字符串进行加密,生成签名。

6. 发送请求:将生成的签名添加到API请求中的特定位置(如请求头或请求参数)。

7. 服务器端验证签名:服务器端收到请求后,会使用相同的算法和密钥对接收到的参数进行签名计算。然后将服务器端计算得到的签名与请求中的签名进行比对,如果一致,则验证通过;否则,验证失败。

1. 客户端在请求头中携带 accessKey 和 secretKey 发送请求给服务端

2. 服务端从请求头中取出参数进行校验

  • 客户端携带参数
    /**
     * 将参数添加到请求头 map
     * @return
     */
    private Map<String, String> headerMap(String body) {
        HashMap<String, String> hashMap = new HashMap<>();
        hashMap.put("accessKey", accessKey);
        // 一定不能发送给后端!
//        hashMap.put("secretKey", secretKey);
        hashMap.put("nonce", RandomUtil.randomNumbers(5));
        hashMap.put("body", body);
        hashMap.put("timestamp", String.valueOf(System.currentTimeMillis() / 1000));
        hashMap.put("sign", SignUtil.genSign(body, secretKey));
        return hashMap;
    }
  • 服务端校验参数
  • 使用同一套加密算法 / 签名生成算法
package com.ghost.leapiinterface.utils;

import cn.hutool.crypto.digest.DigestAlgorithm;
import cn.hutool.crypto.digest.Digester;

/**
 * 签名生成工具类
 * @author 乐小鑫
 * @version 1.0
 * @Date 2024-02-02-15:43
 */
public class SignUtil {
    /**
     * 使用 MD5 加密算法生成签名
     * @param body 用户参数
     * @return 签名
     */
    public static String genSign(String body, String secretKey) {
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String str = body.toString() + "." + secretKey;
        return md5.digestHex(str);
    }
}

    @PostMapping("/user")
    public String getNameByJSON(@RequestBody User user, HttpServletRequest request) {
        // 获取请求头中携带的参数,校验调用接口的权限
        String accessKey = request.getHeader("accessKey");
//        String secretKey = request.getHeader("secretKey");
        String nonce = request.getHeader("nonce");
        String body = request.getHeader("body");
        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");
        // TODO 实际上要从数据库查是否已分配给用户
        if (!accessKey.equals("ghost")) {
            throw new RuntimeException("无权限");
        }
        // 校验随机数
        if (nonce.length() > 5) {
            throw new RuntimeException("无权限");
        }

        // TODO 校验时间戳 timestamp:和当前时间不能超过 5 min
        // 和客户端使用同一套加密算法进行校验
        String serverSign = SignUtil.genSign(body, "abcdefg");// 实际上要从数据库中取出数据进行校验
        if (!serverSign.equals(sign)) {
            throw new RuntimeException("无权限");
        }
//        System.out.println("getNameByJSON 被调用,accessKey: " + accessKey + "; secretKey:" +secretKey);
        return "POST 你的名字是:" + user.getUsername();
    }

四、API 签名认证的六个参数

1. 用户标识 accessKey

2. 密钥 secretKey:不能传递给后端❗

3. 用户参数

4. 签名 sign

5. 随机数 防重放

6. 时间戳 timeStamp

附:对称加密、非对称加密和单向加密

1. 对称加密

  • 对称加密使用相同的密钥对数据进行加解密
  • 发送方和接收方必须事先共享密钥,否则无法进行加解密
  • 常见的对称加密算法:DES、3DES、AES 等
  • 适用场景:适用于数据传输量较大、安全性要求不是特别高的场景

2. 非对称加密

  • 非对称加密则使用一对不同的密钥进行加解密,分别称为公钥和私钥
  • 公钥可以公开,任何人都可以使用它对数据进行加密
  • 私钥只能由密钥持有人保管,并用于解密数据
  • 常见的非对称加密算法:RSA、DSA 等
  • 适用场景:适用于对数据安全性要求较高的场景,例如数字签名、身份认证等

3. 单向加密

  • 只能对数据进行加密,而无法逆向解密回原始数据
  • 举例:哈希函数
    • 相同的输入始终产生相同的哈希值
    • 即使输入数据发生微小变化,哈希值也会发生巨大变化
    • 无法从哈希值推导出原始输入数据
  • MD5、SHA-256 加密算法也是单向加密

举个例子,常见的哈希函数是 MD5 和 SHA-256。假设我们对字符串 "Hello, World!" 进行 MD5 哈希,得到的哈希值是 "65a8e27d8879283831b664bd8b7f0ad4"。无论我们多少次对这个字符串进行 MD5 哈希运算,都会得到相同的哈希值。但是,如果我们只知道哈希值 "65a8e27d8879283831b664bd8b7f0ad4",是无法确定原始的字符串是 "Hello, World!" 的。

乐小鑫
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API认证
OUCE2020的博客
01-02 2506
API是美国石油协会(American Petroleum Institute)的英文缩写,创于1919年,是美国第一家商业级的商业学会,也是全世界范围内最早、最成功的制定标准的商会之一。随着石油工业的发展,石油设备厂家日益增多,油田对设备的标准性和安全性的要求也日益提高,于是1923年在API内成立第一个群众性行业的标准化机构标准化部,后译名为生产部(API Production Departm...
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
聊聊 API 签名方式
Karka_的博客
12-31 831
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
API签名认证
incredible1024的博客
09-03 776
本文介绍 API 签名认证相关知识,包括:概念,作用,实现思路,完整逻辑。帮助你轻松掌握 API 签名认证相关知识,能够设计自己的 API 签名认证算法。
WEB API 接口签名sign验证入门与实战
最新发布
wangluoanquan111的博客
04-23 1014
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
API 接口签名验签
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1708
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
API接口签名验证
qq_25046827的博客
03-01 4576
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API签名验证
08-01
在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,安全认证是至关重要的一步,它确保了只有授权的用户或应用程序可以访问受保护的资源。本源码提供了一个完整的安全认证解决方案,适用于RESTful服务。下面将详细介绍其中涉及的关键知识点。 1. ...
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 2732
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
Java API接口签名认证
wFitting的博客
11-13 4968
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
细说API - 认证、授权和凭证
Jernnifer_mao的博客
09-22 418
在一些互联网公司的面试中,面试官往往会问这样一个问题:“如果禁用浏览器 cookie,如何实现用户追踪和认证?遗憾的是依然有大量候选人答非所问,无法搞清楚 cookie 和 session 之间的区别。而在工作中也有让人惊讶的真实案例:把 user ID 存储到 local storage 中当做 token 使用,原因是他们声称弃用了 cookie 这种落后的东西;一个移动端项目,服务器给出的 API 中需要客户端模拟一个 cookie,从而像浏览器中 ajax 那样消费 API
API签名认证的说明及实现
trinityleo5的博客
08-30 1334
API签名认证的说明及实现
开发API接口的安全验证:token,参数签名,时间戳
热门推荐
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
帮我写一段代码,微信小程序 API 签名 认证
03-28
以下是微信小程序 API 签名认证的代码示例: ```javascript const appSecret = 'your_app_secret'; // 应用的 appSecret const timestamp = Date.now().toString().substr(0, 10); // 当前时间戳,精确到秒 const nonceStr = Math.random().toString(36).substr(2, 15); // 随机字符串 const url = 'https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=your_app_id&secret=' + appSecret; // 请求的 API 地址 const rawString = 'noncestr=' + nonceStr + '&timestamp=' + timestamp + '&url=' + url; // 按照字典序拼接参数 const sha1 = require('sha1'); // 引入 sha1 库 const signature = sha1(rawString); // 计算签名 // 发起请求,带上认证参数 wx.request({ url: url, data: { nonceStr: nonceStr, timestamp: timestamp, signature: signature }, success: function(res) { console.log(res.data); // 输出认证结果 } }); ``` 其中,`appSecret` 是应用的密钥,`timestamp` 是当前时间戳,`nonceStr` 是随机字符串,`url` 是请求的 API 地址。代码中使用了 sha1 库计算签名,并将认证参数带入请求中。最终输出认证结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值