安全优雅的RESTful API签名实现方案

最新推荐文章于 2024-07-25 15:39:03 发布
置顶 最新推荐文章于 2024-07-25 15:39:03 发布
阅读量2.5k 收藏 11
点赞数
分类专栏: java restfulapi 文章标签: 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22845447/article/details/93141661
版权

安全优雅的RESTful API签名实现方案

1、接口签名的必要性

在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。

2、项目中签名方案痛点

  • 每个接口有各自的签名方案,不统一,维护成本较高。
  • 没有对消息实体进行签名,无法避免数据被篡改。
  • 无法避免数据重复提交。

3、签名及验证流程

签名流程说明

4、签名规则

  • 线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret。
  • 加入timestamp(时间戳),10分钟内数据有效。
  • 加入流水号nonce(防止重复提交),至少为10位。针对查询接口,流水号只用于日志落地,便于后期日志核查。 针对办理类接口需校验流水号在有效期内的唯一性,以避免重复请求。
  • 加入signature,所有数据的签名信息。
    其中appid、timestamp、nonce、signature这四个字段放入请求头中。

5、签名生成

5.1、数据部分

  • Path:按照path中的顺序将所有value进行拼接
  • Query:按照key字典序排序,将所有key=value进行拼接
  • Form:按照key字典序排序,将所有key=value进行拼接
  • Body:
Json: 按照key字典序排序,将所有key=value进行拼接(例如{"a":"a","c":"c","b":{"e":"e"}} => a=a^_^b=e=e^_^c=c)
String: 整个字符串作为一个拼接

如果存在多种数据形式,则按照path、query、form、body的顺序进行再拼接,得到所有数据的拼接值。
上述拼接的值记作 Y。

5.2、请求头部分

X=“appid=xxxnonce=xxxtimestamp=xxx”

5.3、生成签名

最终拼接值=XY
最后将最终拼接值按照如下方法进行加密得到签名(signature)。

signature=org.apache.commons.codec.digest.HmacUtils.hmacSha256Hex(app secret, 拼接的值);

6、签名算法实现

6.1、指定哪些接口或者哪些实体需要签名

@Target({
   TYPE, METHOD})
@Retention(RUNTIME)
@Documented
public @interface Signature {
   
    String ORDER_SORT = "ORDER_SORT";//按照order值排序
    String ALPHA_SORT = "ALPHA_SORT";//字典序排序
    boolean resubmit() default true;//允许重复请求
    String sort() default Signature.ALPHA_SORT;
}

6.2、指定哪些字段需要签名

@Target({
   FIELD})
@Retention(RUNTIME)
@Documented
public @interface SignatureField {
   
    //签名顺序
    int order() default 0;
    //字段name自定义值
    String customName() default "";
    //字段value自定义值
    String customValue() default "";
}

6.3、签名核心算法(SignatureUtils)

public static String toSplice(Object object) {
   
    if (Objects.isNull(object)) {
   
        return StringUtils.EMPTY;
    }
    if (isAnnotated(object.getClass(), Signature.class)) {
   
        Signature sg = findAnnotation(object.getClass(), Signature.class);
        switch (sg.sort()) {
   
            case Signature.ALPHA_SORT:
                return alphaSignature(object);
            case Signature.ORDER_SORT:
                return orderSignature(object);
            default:
                return alphaSignature(object);
        }
    }
    return toString(object);
}

private static String alphaSignature(Object object) {
   
    StringBuilder result = new StringBuilder();
    Map<String, String> map = new TreeMap<>();
    for (Field field : getAllFields(object.getClass())) {
   
        if (field.isAnnotationPresent(SignatureField.class)) {
   
            field.setAccessible(true);
            try {
   
                if (isAnnotated(field.getType(), Signature.class)) {
   
                    if (!Objects.isNull(field.get(object))) {
   
                        map.put(field.getName(), toSplice(field.get(object)));
                    }
                } else {
   
                    SignatureField sgf = field.getAnnotation(SignatureField.class);
                    if (StringUtils.isNotEmpty(sgf.customValue()) || !Objects.isNull(field.get(object))) {
   
                        map.put(StringUtils.isNotBlank(sgf.customName()) ? sgf.customName() : field.
最低0.47元/天 解锁文章
胡峻峥
关注
专栏目录
RESTful API风格指南
程序员光剑
08-06 1346
什么是RESTful APIRESTful API是一种设计风格和开发方式,是一种通过互联网通信的Web服务接口,满足客户端(比如浏览器、移动设备)与服务器端之间信息交换的需求。RESTful API定义了一组规范,旨在使客户端更容易地与服务端通信,屏蔽了底层网络传输协议的复杂性。RESTful API基于HTTP协议,并使用HTTP方法(GET、POST、PUT、DELETE等)、URI和媒体类型(如JSON或XML)。
RESTful APIRESTful API的身份验证与权限控制
weixin_52553215的博客
11-10 287
RESTful API是一种常用的互联网应用程序接口设计风格。在实际开发中,为了保护API安全性,我们通常需要对用户进行身份验证。RESTful 服务客户端必须向服务器证明其身份才能确立信任。RESTful Web 服务必须首先对请求进行身份验证,然后才能发送响应。
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
API签名及加密方式详解
最新发布
Explinks的博客
07-25 727
本文将从专业的角度来进行全面解析,从技术角度对API签名方式,加密方式等进行详解。
restfull加签_SpringBoot RestFull API签名
weixin_32868705的博客
01-17 355
一、需求如下对指定的API路径进行签名认证,对于没有指定的无需认证,认证具体到方法。二、查阅资料与开发1.了解JWT,实际上用的开源jjwt2.编写自定义注解3.编写拦截器,主要是拦截特定的url进行签名验证,这里解析请求的handler是否有包含自定义注解确定思路后,开始编写代码A、写工具,我在网上找的,代码不复杂,一看就懂,代码如下/*** @Title: TokenUtils.java* @...
RESTful接口签名认证实现机制
黄刚的技术博客
06-01 8706
RESTful接口        互联网发展至今,催生出了很多丰富多彩的应用,极大地调动了人们对这些应用的使用热情。但同时也为互联网应用带来了严峻的考验。具体体现在以下几个方面: 1.     部署方式的改变:当用户量不多的情况下,可能只需部署一台服务器就可以解决问题,但是当很多用户的情况下,为抗住高并发访问,需要组成应用集群对外提供服务; 2.     应用构建的改变:很多应用采用了多种技
api k8s restful 创建pods_基于restfulAPI实现k8s的监听机制
weixin_36098127的博客
01-14 1001
k8s rest api对rc、svc、ingress、pod、deployment等都提供的watch接口,可以实时的监听应用部署状态。在此之前简单先说一下http长连接分块传输编码(Chunked transfer encoding)超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由应用服务器发送给客户端应用( 通常是网页浏览器)的数据可以分成多个部分。分块传输编码只在HTTP协议...
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
RESTful API安全认证与授权的实现
## 1.1 什么是RESTful API RESTful API(Representational State Transfer)是一种通过HTTP协议对资源进行操作的软件设计风格。它通过统一的接口定义和一组预定义的方法(GET、POST、PUT、DELETE等)来实现资源的...
SpringBoot RestFull API签名
weixin_34021089的博客
09-05 901
一、需求如下对指定的API路径进行签名认证,对于没有指定的无需认证,认证具体到方法。二、查阅资料与开发1.了解JWT,实际上用的开源jjwt2.编写自定义注解3.编写拦截器,主要是拦截特定的url进行签名验证,这里解析请求的handler是否有包含自定义注解/*** @Title: TokenUtils.java* @Description:* @Copyright: ...
springboot接口签名统一效验_补习系列(5)-springboot- restful应用
weixin_39521835的博客
11-20 272
一、目标了解 Restful 是什么,基本概念及风格;能使用SpringBoot 实现一套基础的 Restful 风格接口;利用Swagger 生成清晰的接口文档。二、Restful 入门什么是REST 摘自百科的定义:REST即表述性状态转移(英文:Representational State Transfer,简称REST)是Roy Fielding博士(HTTP规范主要贡献者)在2000年的...
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1828
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
java实战2:利用Spring boot开发Restful 接口
热门推荐
weixin_43930865的博客
05-11 1万+
利用Spring boot开发Restful 接口 1:Spring boot 1.1:SpringBoot框架 SpringBoot框架一般分为View层、Controller层、Service层、Mapper层、pojo层。 View层:视图层,根据接到的数据展示页面给用户 Controller层:响应用户需求,决定用什么视图,需要准备什么数据来显示。Controller层负责前后端交互,接收前端请求,调用Service层,接收Service层返回的数据,最后返回具体的数据和页面到客户端 Service
java restfull加密,一种简单的REST API接口加密实现,只允许自己的产品调用后台,防止接口被刷...
weixin_30802399的博客
03-20 591
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。后台接口很容易暴露1.实现思路:客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_ti...
Restful API AK/SK认证
lijiale的博客
11-12 7861
AK/SK简介 AK(Access Key ID,用于标识用户)/SK(Secret Access Key,是用户用于加密认证的字符串和验证认证字符串的密钥,SK必须保密),主要用于对用户的调用行为进行鉴权和认证,相当于专用的用户名和密码 AK/SK认证流程 客户端根据双方协商好的规则算法生成Signature认证字符串,并将生成的Signature认证字符串设置到header中。当API网关/服务端接收到请求后,判断请求中是否包含Signature认证字符串。如果包含认证字符串,则执行下一步操作。 基于
调用泛微restful api 接口
05-02
泛微软件是一家提供企业级信息化解决方案的公司,其Restful API接口是基于HTTP协议设计的,可以实现多种应用和功能的调用。 在调用泛微Restful API接口之前,需要对其进行认证和授权。认证需要使用已知的用户名和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值