API接口鉴权及加密

最新推荐文章于 2024-06-18 18:32:44 发布
最新推荐文章于 2024-06-18 18:32:44 发布
阅读量2.3w 收藏 18
点赞数 4
分类专栏: # Linux 文章标签: api 服务器 interceptor 加密 SortedMap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingjie1212/article/details/53635296
版权

前言

在为移动端做API接口时,Java服务器端对接口一般需要做两种处理。

1.对请求的接口在interceptor 做authorize鉴权

2.对请求过来的参数进行加密校验,防止参数在传递过程中被篡改。

鉴权

鉴权方式我所使用的到的基本上目前有以下三种:

1.session

2.cookie

3.oauth2.0

对于这三种方式,以后细讲下。在此不再多说。

加密

对于传输过程中防止参数被篡改,可以使用HTTPS来有效的增强安全性。

对于重要的数据传输,除了需要https来认证,还需要对传入参数进行加密解密的校验,达到双层保证。

一般处理思路:

将传入参数组合成字符串,然后做加密,得到加密的token值;调用接口时,同时将此值传入。服务器拿到此值,根据对应的加密方式解密比对。

来验证传入值的完整性。

关于加密方式,这里不再赘述。可根据接口的重要程度来选择。

如哈希算法md5、对称加密的DES、非对称的RSA或者一些加盐加密。

以md5为例,使用Java的SortedMap,对请求参数进行MD5,并传入。

	SortedMap<Object, Object> requestParams = new TreeMap<Object, Object>();

        requestParams.put("version", "1");
        requestParams.put("userName", "123456");
        requestParams.put("password", "123456");

        StringBuffer requestParamsStringBuffer = new StringBuffer();
        System.out.println("排序之后的Key Value:");
        for (Map.Entry<Object, Object> entry : requestParams.entrySet()) {
            System.out.println(entry.getKey() + " " + entry.getValue());
            requestParamsStringBuffer.append(entry.getKey() + "" + entry.getValue());
        }
        System.out.println(requestParamsStringBuffer.toString());
        String md5="";
        try {
            md5 = MD5.getMd5(requestParamsStringBuffer.toString());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }

        System.out.println("request params md5加密后:" + md5);
        //request params md5加密后:d42fdf5e525386c648b1303fa2aa5aab

        //当我们传入传入参数时,将token=d42fdf5e525386c648b1303fa2aa5aab 与其他参数平级传入,来防止请求被篡改

接下来,我们在接口文档中对token进行解释,并要求移动端此过程调用即可。


bingo!

mingjie1212
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
API接口开发 dome源码 加密 鉴权验证
11-29
开发安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)4种加密方式的Dome
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
api postmain 鉴权_API 接口鉴权规范
weixin_39539733的博客
12-18 143
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等)Api 接口鉴权规范-1.0-md5签名Api 登录,采用Auth鉴权方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数:1.Epay-Auth-User-Id 用户Id2.Epay-Auth-Timestamp 请求时客户端时间错,以此设置过期时间3....
8年经验之谈 —— 接口测试框架中的鉴权处理!_接口自动化的鉴权问题怎么处理
2401_84561850的博客
05-15 440
那我们再分析下查询余额的接口在发起时token信息是如何传递的,依然是fidder工具抓包,我们可以发现在请求的header中有一个字段叫testfan-token,对应的值就是登录接口返回的token值。码同学全栈接口项目中有基于cookies的查询余额接口,必须先调用登录接口获取cookie并传递给查询余额接口,两个接口的信息如下。码同学全栈接口项目中有基于token的查询余额接口,必须先调用登录接口获取token并传递给查询余额接口,两个接口的信息如下。
如何写出安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)
dengcu1321的博客
12-14 987
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全一个相对完善的总结,承诺给大家写个demo,今天一并放出。 对于安全也是相对的,下面我来根据安全级别分析 1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。 实话说,这...
api postmain 鉴权_API接口鉴权方法
weixin_39747341的博客
12-18 548
API接口鉴权方法API接口鉴权方法API 使用签名方法(Signature)对接口进行鉴权。每一次请求都需要在请求中包含签名信息, 以验证用户身份。在第一次使用API之前,用户首先需要在目标网站上申请安全凭证,安全凭证包括 SecretId 和 SecretKey, SecretId 是用于标识 API 调用者的身份,SecretKey是用于加密签名字符串和服务器验证签名字符串的密钥。Secr...
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2498
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWT? JWT...
Api接口TOKEN+签名安全.zip
11-26
"Api接口TOKEN+签名安全.zip"这个压缩包文件很显然是为了探讨如何在Web API中实现安全的鉴权验证机制。在这个场景下,`TOKEN`和`签名`是两个关键概念,它们在保护API免受未授权访问、防止数据篡改等方面起着重要...
api鉴权-token验证机制springboot版本java后端
04-24
API鉴权中,Token验证机制是现代Web应用中安全访问接口的重要手段。Spring Boot作为Java后端开发的主流框架,提供了丰富的工具和支持来实现这一机制。本教程将重点讲解如何在Spring Boot环境下,不依赖数据库,...
电信物联网开发者平台北向API_DEMO源码,已实现所有API接口,都有例子
03-27
- 其次,研究LiteNAdemo_https代码,理解每个API接口的调用方式和参数含义。 - 然后,根据自己的需求修改和扩展代码,例如添加新设备类型、处理特定的数据格式等。 - 最后,部署和测试代码,确保与电信物联网...
http(三)接口动态鉴权
w_t_y_y的博客
05-26 7298
一、问题说明:接口如果是被同一个项目的前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制中放开 该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
Web API接口鉴权方式
人间世
02-28 5459
介绍web API接口鉴权方式
权限校验—接口检验
一起加油吧~
08-08 2693
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
API签名鉴权设计
后面牵个人的博客
12-26 2806
API鉴权的作用:识别调用方身份,控制API的访问权限,进而保护平台数据的安全。
API接口鉴权
最新发布
06-18 466
鉴权(authentication),鉴权是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。鉴权主要是对声明者所声明的真实性进行校验。若从授权出发,则会更加容易理解鉴权。授权和鉴权是两个上下游相匹配的关系,先授权,后鉴权。授权和鉴权两个词中的“权”,是同一个概念,就是所委派的权利,在实现上即为授信媒介的表达形式。因此,鉴权的实现方式是和授权方式有一一对应关系。对授权所颁发授信媒介进行解析,确认其真实性。
接口自动化测试总结,接口鉴权+加密与解密+数据库操作/断言...
myh919的博客
12-07 546
1)后端接口鉴权常用方法cookie: 携带身份信息请求认证 之后的每次请求都携带cookie信息,cookie记录在请求头中token: 携带身份信息请求认证 之后的每次请求都携带token认证信息 可能记录在请求头,可能记录在url参数中auth: 每次请求携带用户的username和password,并对其信息加密oauth2(选修): 携带身份信息请求认证 服务端向指定回调地址回传code 通过code获取token 之后的请求信息都携带token。2)cookie 鉴权
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1556
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
关于前后端分离开发接口鉴权
weixin_45325332的博客
01-09 1810
切换工作视图 企业 苏喔信息科技 项目 查看全部项目 19482748937 苏喔信息科技 免费版 中午好! 劳晓湖 劳晓湖 前后端分离接口鉴权 收藏 预览 设置 输入关键字搜索文件 收起所有节点 前后端分离接口鉴权 前后端分离接口鉴权 文件信息 前言 在项目开发中,为了提高项目开发效率,一般会选择前后端分离开发的形式,但是如果不进行身份鉴别的话,后台的接口是公开暴露的,只要访问URL便可获取到接...
magic-api添加接口鉴权
08-24
### 回答1: 对于您的问题,我可以回答。在Magic-api中,您可以通过添加接口鉴权来提高接口的安全性。您可以使用API密钥、JWT Token等方式进行接口鉴权,以确保只有授权用户才能访问接口。在具体实现上,您可以在请求头中添加相应的授权信息,并在服务端对该信息进行验证,以确定用户是否有访问该接口权限。 ### 回答2: 鉴权是用于验证API请求是否合法的一种安全措施。在使用magic-api添加接口鉴权时,可以采用以下步骤: 1. 生成密钥:首先,需要生成一个用于鉴权的密钥。可以使用常见的加密算法如HMAC-SHA256等来生成密钥。确保密钥具有足够的复杂度和安全性。 2. 将密钥配置到magic-api:在magic-api的配置文件中,添加一个鉴权相关的配置项,将生成的密钥配置到该项中。这个配置项可以是一个字符串,也可以是一个文件路径,存储密钥的值。 3. 添加鉴权中间件:在接口请求处理流程中,添加一个鉴权中间件。该中间件的作用是在请求到达API处理逻辑之前,对请求进行鉴权验证。通过读取配置的密钥,对请求的参数、头部信息等进行加密或签名,并与鉴权中间件请求中的加密或签名进行比对。 4. 验证鉴权结果:鉴权中间件会返回一个鉴权结果,通常可以是布尔值或者一个带有鉴权信息的对象。根据鉴权结果,可以决定是否允许继续处理该请求。如果鉴权失败,返回一个相应的错误信息,并拒绝该请求。 5. 日志记录:为了追踪和审计API请求的鉴权情况,可以在鉴权中间件中添加日志记录的功能。记录每个请求的鉴权结果、鉴权时间、请求参数等信息,以便后续的统计和分析。 通过以上步骤,可以在magic-api中添加接口鉴权功能,提高API的安全性和可靠性,确保只有经过合法鉴权的请求能够被正常处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mingjie1212

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值