代码实战:接口安全之API Key + Secret认证机制

最新推荐文章于 2025-03-26 16:46:06 发布
最新推荐文章于 2025-03-26 16:46:06 发布
阅读量1k 收藏 4
点赞数 5
分类专栏: java doc 文章标签: 安全 java 后端 spring spring boot spring cloud intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21880261/article/details/145677912
版权

文章目录

1.实战背景

如何保证服务端和客户端的HTTP接口安全?
即对外提供部分特定接口(比如:/**/noauth),第三方调用这些接口既不能走我们自己的权限认证(比如:header带着登录后的token),也不能随意让任何人随意调用。如何保证提供给第三方接口的安全性,特别如何校验第三方的身份?

2.核心目标

身份验证 - 确保调用方是合法的第三方。
数据完整性 - 防止请求数据被篡改。
防重放攻击 - 防止请求被恶意重复使用。
访问控制 - 限制第三方只能访问特定接口。

3.实现方案 API Key + Secret认证机制

step1:生成签名
客户端使用appid、secret、时间戳(Timestamp)和随机字符串(Nonce)生成签名。签名算法使用HMAC-SHA256。【时间戳个随机数防重放攻击】
step2:发送请求
客户端将appId、Timestamp、Nonce和签名作为请求头发送到服务端。
step3:验证签名
服务端根据appId查找对应的secret,使用相同的算法对请求参数进行签名,并与客户端提供的签名进行比对。
重点:要对外提供appid、secret,以及签名生成算法
// 其他方案也可,包括HTTPS加密传输、IP白名单等

4. 具体实现

public class ApiAuthorizationUtils {
    /**
     * 客户端生成签名.
     *
     * @param appId     标记唯一第三方应用
     * @param secret    密钥
     * @param timestamp 时间戳
     * @param nonce     随机数
     * @return 验签
     */
    public static String generateSignature(String appId, String secret, Long timestamp, String nonce) {
        try {
            // 构造待签名的字符串
            Map<String, String> params = new TreeMap<>();
            params.put("appid", appId);
            params.put("timestamp", String.valueOf(timestamp));
            params.put("nonce", nonce);
            StringBuilder sb = new StringBuilder();
            for (Map.Entry<String, String> entry : params.entrySet()) {
                sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
            }
            String signString = sb.substring(0, sb.length() - 1);

            // 使用HMAC-SHA256进行签名
            Mac sha256Hmac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
            sha256Hmac.init(secretKey);
            byte[] hash = sha256Hmac.doFinal(signString.getBytes(StandardCharsets.UTF_8));
            return Base64.getEncoder().encodeToString(hash);
        } catch (Exception e) {
            throw new RuntimeException("Failed to generate signature", e);
        }
    }

    /**
     * 验证客户端签名.
     *
     * @param appId           appId
     * @param secret          secret
     * @param timestamp       时间戳
     * @param nonce           随机数
     * @param clientSignature 客户端验签
     * @return 是否验证成功
     */
    public static Boolean verifySignature(String appId, String secret, Long timestamp, String nonce, String clientSignature) {
        try {
            // 构造待签名的字符串
            Map<String, String> params = new TreeMap<>();
            params.put("appid", appId);
            params.put("timestamp", String.valueOf(timestamp));
            params.put("nonce", nonce);
            StringBuilder sb = new StringBuilder();
            for (Map.Entry<String, String> entry : params.entrySet()) {
                sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
            }
            String signString = sb.substring(0, sb.length() - 1);

            // 使用HMAC-SHA256进行签名
            Mac sha256Hmac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
            sha256Hmac.init(secretKey);
            byte[] hash = sha256Hmac.doFinal(signString.getBytes(StandardCharsets.UTF_8));
            String serverSignature = Base64.getEncoder().encodeToString(hash);
            return serverSignature.equals(clientSignature);
        } catch (Exception e) {
            throw new RuntimeException("Failed to verify signature", e);
        }
    }

    /**
     * 验证时间有效性(5分钟内有效).
     *
     * @param timestamp timestamp
     * @return 是否有效
     */
    public static boolean isTimestampValid(long timestamp) {
        long currentTime = System.currentTimeMillis();
        long timeDiff = Math.abs(currentTime - timestamp);
        return timeDiff <= 5 * 60 * 1000;
    }
}

Configuration
@Slf4j
public class AuthInterceptor implements WebMvcConfigurer {
    /**
     * 密钥,一般加密后存在数据库中,或者配置在配置文件.
     */
    private static final String SECRET = "123456";

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new HandlerInterceptor() {
            @Override
            public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
                PrintWriter writer = response.getWriter();
                // 从请求头中获取值
                String appid = request.getHeader("appId");
                Long timestamp = Long.valueOf(request.getHeader("timestamp"));
                String nonce = request.getHeader("nonce");
                String signature = request.getHeader("signature");
                if (StrUtil.isBlank(appid) || StrUtil.isBlank(nonce) || StrUtil.isBlank(signature)) {
                    writer.append("permission denied, params is not valid");
                    return false;
                }
                if (!ApiAuthorizationUtils.isTimestampValid(timestamp)) {
                    writer.append("签名已过期");
                    return false;
                }
                // 服务端验证签名
                boolean isValid = ApiAuthorizationUtils.verifySignature(appid, SECRET, timestamp, nonce, signature);
                if (isValid) {
                    return true;
                } else {
                    writer.append("权限认证失败");
                    return false;
                }
            }
        }).addPathPatterns("/api/noauth/external/**"); // 第三方路由
    }
}
API密钥是什么
ZJQ的博客
02-15 631
API密钥是由API服务提供商分配给开发者或用户的唯一标识符,它就像是一把钥匙,允许用户合法地访问和使用特定的API接口。当用户向API发送请求时,需要在请求中包含这个密钥,API服务器会验证密钥的有效性,以确定是否允许该请求访问相应的资源或执行特定的操作。
5步让你的API穿上“防弹衣”:ASP.NET Core .NET 8 API密钥认证实战指南
最新发布
java专栏
04-17 1262
大家好,我是墨瑾轩,一个靠写代码API“穿防弹衣”的“IT安全员”。——用“密钥生成+中间件拦截+数据库存储+错误处理+多环境适配”的“组合拳”,让API坚如磐石!“从此告别’API裸奔、数据泄露’的噩梦,迎接’密钥认证安全无死角’的Web服务新纪元!“API像没锁的门——API密钥就是你的’数字防弹衣’,让.NET 8守护你的数据金库!因为API就像“金库”——🔥关注墨瑾轩,带你探索编程的奥秘!🔥超萌技术攻略,轻松晋级编程高手🚀。🔥技术宝库已备好,就等你来挖掘🚀。🔥即刻启航,编程之旅更有趣
java 对外第三方接口
迷迷糊糊,懵懵懂懂
12-28 2125
Java中,对外提供第三方接口通常涉及使用令牌(Token)或API密钥(API Key)等方式来确保请求的合法性。以下是一个简单的基于令牌的示例,你可以根据实际情况进行修改和扩展。
【保姆级教程】腾讯云如何获取secretId和secretKey,以及开通人脸服务
热门推荐
来自上海的这位朋友
07-21 3万+
【保姆级教程】腾讯云如何获取secretId和secretKey,以及开通人脸服务
如何生成API请求签名?
one6688的博客
03-26 374
通过上述步骤和代码示例,你可以生成API请求签名,并调用1688开放平台的API接口获取商品详情。生成签名是确保API请求安全性和合法性的重要步骤,不同的API接口可能有不同的签名生成规则,建议参考具体的API文档进行开发。在调用API接口时,生成请求签名是确保请求安全性和合法性的重要步骤。不同的API接口可能有不同的签名生成规则。以下是一些常见的签名生成方法和示例,特别是针对1688开放平台的签名生成方法。以下是生成请求签名的具体步骤和代码示例。:确保使用的时间戳是13位的,符合API接口的要求。
开放平台中的的实现
HEL_WOR的博客
06-14 2万+
转载请注明:http://blog.csdn.net/HEL_WOR/article/details/51660979 在描述和流控之前,可能需要先描述为什么需要搭建开放平台。 开放平台最先由FB推出,而后在2012年左右,国内比较大型的互联网公司都开始搭建自己的开放平台。搭建属于自己的开放平台的原因,一般是以下几点:1.借助第三方满足用户的零碎需求 2.借助第三方提升自己的影响力 3.作为渠
关于百度智能云千帆大模型平台应用APIkeySecret Key获取
qq422725478的博客
07-13 4339
选择左侧“在线服务”功能,随便找一个免费的点击开通。这里百度会为能开通所有的服务,反正只要你不用,就不收费。这里注意,没有实名认证的可能需要手机端认证下。4、返回应用接入主界面,选择你的API KeySecret Key。点击应用接入,创建一个应用,随便填就行。1、首先登录百度千帆大模型平台“
java的HMACSHA1加密算法
多少春秋风雨改 多少崎岖不变爱
11-11 1万+
前期做一个和Q+相关的项目时,双方要进行一些数据的校验,对方规定的校验规则是通过hmac-sha1算法(fcg语言采用hash_hmac方法),并给出了一个例子:sig=hash_hmac("sha1","app_id=10001app_lang=2052app_nonce=%E6%B5%8B%E8%AF%95app_ts=1287729243", "myappsecret")=8ba33c7db
API 签名认证:AK(Access Key 访问密钥)和 SK(Secret Key 私密密钥)
祝你身体健康,美满幸福
08-10 4930
在当今的互联网时代,API作为服务与服务、应用程序与应用程序之间通信的重要手段,其安全性不容忽视。你是否遇到过需要在HTTP请求中加入访问密钥(ak)和私密密钥(sk)的情况?是不是担心这些敏感信息会被拦截或者泄露?本文将为你解答这些疑惑,并介绍一种有效的API签名认证方法。
apikeyapisecretapi请求中的使用
weixin_41964962的博客
04-08 7532
场景 提供的api接口需要验证使用者身份的合法性 流程 由api使用者(简称用户端)向api提供者(服务端)申请一组public key/secret key 用户端在调用接口请求时,携带上data、public key、salt、由data salt secret key 生成的摘要(可以使用sha1、md5等摘要算法),通过api接口发送给服务端 服务端根据public key在DB中搜...
申请百度文字识别APIkeySecret Key+文字验证码识别案例
时光、疏离了记忆づ童话的博客
09-25 6373
1、首先打开百度文字识别官网,输入百度账号登陆 2、找到文字识别,然后进入后点击创建应用 3、应用名称,填你自己的应用名称,也可以随便填写一个 文件识别包名选择 不需要即可,描述随便填一些 4、点击立即创建,出现如下图,点击查看应用详情 如下图已经申请到apikeySecret Key 拿到上面的apikeySecret Key我们就可以做事情了。 附上图片验证码(数字+字母)识别案列(用于某柠打卡): 现在大多数网站登录时候我们只能获取加密后的图片地址,因此案例传输的是图片加密后的字符串,如
每日一博 - App key和App Secret
小工匠
12-18 9101
App Key和App SecretAPI接口调用中常用的身份验证机制,确保只有合法的应用程序可以访问API
用CryptoAPI生成密钥的方法
03-27
用CryptoAPI生成密钥的方法.pdf
Java实战:CSDN博客安全认证头x-ca-nonce与x-ca-signature解析与生成.zip
04-29
CSDN博客作为一个知名的开发者社区,为了保护用户信息和防止恶意攻击,采用了安全认证机制。本文将深入探讨CSDN博客安全认证头中的两个关键元素:`x-ca-nonce` 和 `x-ca-signature`,并展示如何使用Java代码来生成这...
JavaWeb 后端开发实战:RESTful API + JWT 令牌认证详解
Leaton的博客
02-14 965
它通过资源(Resource)的概念来表示系统中的各种实体(如用户、订单、商品等),并通过 HTTP 方法(如 GET、POST、PUT、DELETE)对资源进行操作。无论你是 Java 后端开发新手,还是想要提升 API 设计能力的技术老兵,这篇文章都能为你带来启发!通过本文的实战演练,相信你已经掌握了如何在 JavaWeb 项目中实现 RESTful API 和 JWT 认证的核心技术。是后端开发的两大核心技术。它们不仅是前后端分离架构的基础,也是构建安全、高效 Web 应用的关键。
开放平台架构设计原理与实战:如何设计开放API
AI天才研究院
11-01 648
开放平台(Open Platform)是指第三方合作伙伴提供服务的互联网应用或网络服务平台。作为一个平台,它与其他的基础设施和应用程序服务进行集成,并向用户提供基于开放协议的接口和服务,这些协议允许第三方访问、使用或者分享相关数据和资源。开放平台提供了一种“开放-包容-共赢”的服务模式,让更多的合作者参与到该平台中来,通过对平台的开放,可以释放更多的创新价值,并且也可以提升平台的整体竞争力。在互联网的蓬勃发展下,越来越多的企业希望拥有自己的平台,这就需要平台架构师对其中的设计和运营管理有更好的把握和理解。
Spring Boot 深度实战:大文件分片上传 + 断点续传,打造高效企业级应用
danny-IT技术博客
03-21 1072
本文详解基于Spring Boot的大文件分片上传与断点续传企业级方案,涵盖智能分片策略、Redis状态管理、分布式存储(MinIO/OSS)集成、零拷贝合并优化及多层次安全防护(病毒扫描+RBAC),通过动态分片调整、断点状态恢复和Prometheus监控,实现千万级文件秒传率>99.9%,支持EB级存储扩展,满足金融级高可用要求。
对外开放接口的AppkeySecret应该如何设置?
技术分享博客
03-25 2455
123456 MD5加密后就生成了32位或者64位的字符串,再将其拆分为若干段,例如拆分成三段,每段有多少个,然后生成一个2000随机乱码字符串中,将secret 插入到2000个字符串中的固定位置,然后检查乱码字符串长度是否附后,然后substring拆你要的加密字符串,然后解密出来看是否能得到原来的明文。在对外开放接口的设计中应该要考虑到接口安全性和可扩展性。App secret:的意思为“私匙”,简称api接口密钥,是跟app key配套使用的,可以简单理解成是密码,它是微信公众平台服务号才有的。
商品详情API淘宝接口请求apikeyapisecret获取方式
2301_78159247的博客
02-28 840
请注意,以上步骤可能会随着开放平台的政策更新而发生变化,因此在操作前请确保查阅最新的文档和指南。要获取淘宝商品详情APIapikeyapisecret,您需要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员码小跳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值