对API接口或H5接口做签名认证

最新推荐文章于 2023-12-01 10:43:16 发布
最新推荐文章于 2023-12-01 10:43:16 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: android开发 文章标签: java android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23069607/article/details/125604752
版权

参数签名认证

为了防止客户端访问的 API 接口被伪装攻击、数据泄漏等安全风险。通过与服务器端联调实现接口安全的方式,利用 API 接口签名能有效的防范这些安全问题和风险。对接口参数进行签名有如下优点:

  • 保证请求有效性
    参数变化会导致签名变化,否则将是一个无效的请求;

  • 保证请求合法性
    签名算法依赖服务器分发的一对clientKey和secretKey,clientKey能区分出客户端即调用者身份,服务器端能根据secretKey判断出签名是否合法。

Android客户端签名认证的规则之一:
对各参数进行排序,拼接各参数和参数值,然后拼接密钥secretKey,最后进行MD5加密。生成一个参数sign。


实现代码

  • 定义参数键值对象
public class NetParameter {
    private String key;
    private String value;

    public NetParameter(String key, String value) {
        super();
        this.key = key;
        this.value = value;
    }

    public String getKey() {
        return key;
    }

    public String getValue() {
        return value;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public void setValue(String value) {
        this.value = value;
    }

    @Override
    public String toString() {
        return "NetParameter [key=" + key + ", value=" + value + "]";
    }
}
  • 签名方法
    private String sign(List<NetParameter> list, String secretKey) {
        StringBuffer sb = new StringBuffer();
        if (list != null) {
            Collections.sort(list, new Comparator<NetParameter>() {

                @Override
                public int compare(NetParameter lhs, NetParameter rhs) {
                    return lhs.getKey().compareTo(rhs.getKey());
                }
            });
 
            for (int i = 0, size = list.size(); i < size; i++) {
                NetParameter p = list.get(i);
                if (p != null) {
                    sb.append(p.getKey());
                    sb.append("=");
                    sb.append(p.getValue());
                }
            }
        }
        sb.append(secretKey);
        return digest(sb.toString(), "MD5");
    }
  • 生成公开的Url
    private String createUrl() {
        StringBuffer sb = new StringBuffer();
        sb.append(link);
        sb.append("?");

        if (list != null) {
            int j = -1;
            for (int i = 0, size = list.size(); i < size; i++) {
                NetParameter net = list.get(i);
                if (net != null) {
                    String key = net.getKey();
                    String value = net.getValue();
                    if (key != null && value != null) {
                        if (j < 0) {
                            j = i;
                        }
                        if (j != i) {
                            sb.append("&");
                        }
                        sb.append(key);
                        sb.append("=");
                        sb.append(value);
                    }
                }
            }
        }
        sb.append("&");
        sb.append("sign");
        sb.append("=");
        sb.append(sign(list, getSecretKey()));
        String tmp = sb.toString();

        tmp = tmp.replace("?&", "?");
        return tmp;
    }

访问接口

当客户端生成的sign与服务器端验签的sign不一致时,访问不通过,将反馈相关的message:“无效的参数签名”。

http://192.168.1.76:8806/#/card?clientKey=05380b3c3323541917a25b001d394bf8&rand=751d7b3c-a37b-4d8f-b169-96ca2b30f286&machineNo=7700943733234077224&productName=P770&sign=FC6DE7DECCBDDB5D909D7AC0CA589BC3
有何不可0307
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API 签名认证_api签名认证,【金三银四
2401_83977605的博客
04-03 979
用于验证 API 请求的安全机制作用确保只有经过授权的用户或应用程序能访问 API防止未经授权的访问和数据篡改。
微信h5支付 回调签名验证
qq_36023234的博客
07-18 4304
微信h5支付完成以后会给你设置的回调地址传递一串数据,你需要通过解析这串数据,来判断交易是否成功,交易金额是否正确,并且给微信返回信息。 直接上代码,下面是接收微信给你返回的信息 BufferedReader br = new BufferedReader(new InputStreamReader((ServletInputStream)req.getInputStream
H5支付API接口文档1
08-08
><dinpay> <response> <interface_version>V3.1</interface_version> <merchant_code>
关于支付宝H5支付回调验签失败的原因
qq_29188567的博客
05-23 999
支付宝H5支付回调异步验签失败原因
uniapp 开发的H5 微信公众jssdk验签 invalid signature的问题
木贝西的博客
09-03 1400
根据微信jssdk文档说明配置 传当前访问的url给后端 验签地址 https://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=jsapisign 注意事项 1.timestamp 时间戳一定是10位 不能超过10位 2.后台接口返回的有可能是nonceStr 但是微信要的是 noncestr 注意大小写 3.如果后台生成的签名和微信校验签名不一致,如果自己传的当前访问地址没错,并且当前地址在ip白名单中,则100%是后端问题 让后端自行排查 4.如果后端生.
android webview对接支付宝h5,提示验签错误
jifashihan的博客
12-23 1705
最近在对接支付宝h5功能,通过webview加载html格式的文本, 类似于这样 android代码是原来是这样的 webView.loadData(url, "text/html", "UTF-8"); 但是总提示验签错误,后端又强调代码没问题,这段html代码放在前端浏览器里也能运行,很是纠结。试了一下午,才知道是里边特殊字符还是转义的问题,所以修改以后的代码是这样的 url = url.replaceAll("\\\\", ""); webView.loadDataWit
接口 和 h5 的数据处理 (加密 和 验签 和 鉴权)
一曲微茫度此生
05-21 6024
首先把登录 提交的数据通过客户端加密 json MD5 生成 签名 通过yii框架的param配置文件配置要跳转的路径 #api 接口域名 'url'=&amp;amp;amp;amp;amp;amp;gt;[ #主域名 'domain' =&amp;amp;amp;amp;amp;amp;gt; '', #接口的域名 'api_host' =&amp;amp;amp;amp;amp
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1659
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
对飞猪H5端API接口sign签名逆向实验
码农小易的博客
01-12 3467
免责声明 本文章所提到的技术仅用于学习用途,禁止使用本文章的任何技术进行发起网络攻击、非法利用等网络犯罪行为,一切信息禁止用于任何非法用途。若读者利用文章所提到的技术实施违法犯罪行为,其责任一概由读者自行承担,与作者无关。 0x01 前言 研究飞猪旅行HTML5端sign签名过程,以复刻sign签名过程为手段,以查询酒店价格为目标,以学习技术要点、思路以及如何防范为宗旨,展开对飞猪H5端API接口sign签名的研究。 0x02 寻突破口 捕获目标API请求数据包 使用浏览器F12开发者工具开启设备模拟器.
H5实现签名(react)
m0_61889116的博客
08-09 775
react hooks 实现签名
【项目】API接口的加签和验签
雨下一整晚real的博客
09-10 3905
接口的安全性,和网络是分不开的。所以大多数情况下,还是需要考虑网络环境的安全性。提到的解决方案,也有很多思想借鉴于网络协议。API接口入门(二):API接口签名验签和加解密原理API 接口签名验签_新猿一马的博客-CSDN博客_接口签名
中国邮政_EMS_邮政小包_对接文档_API接口文档
01-28
2.1 接口说明 2.2 订单接入接口描述 2.2.1通用技术描述 2.2.2安全及数据完整性 2.2.3【新一代寄递平台:订购服务申请】接口 2.2.4【新一代寄递平台:服务审核】接口 2.2.5【新一代寄递平台:下单取号】接口 2.2.6【新...
微信/支付宝 H5支付接口(C#版demo)
02-22
微信/支付宝 H5支付接口(C#版demo)
淘宝天猫商品详情API接口(商品详情页面数据接口,商品销量接口
07-28
淘宝商品详情API接口,淘宝商品销量接口,淘宝商品价格接口,淘宝商品列表接口,淘宝商品数据列表接口,淘宝关键词搜索列表接口,淘宝APP详情接口,淘宝APP商品详情接口,淘宝H5详情接口,天猫商品详情API接口,天猫...
H5支付API接口文档3
08-08
H5支付API接口文档3
js rsa验签_【HAVENT原创】前端使用 jsrsasign 进行 RSA 加密、解密、签名、验签
weixin_39580682的博客
01-14 771
最近因项目需求,需要配合 JAVA后端返回的签名,在 H5网页中验签功能。网上搜了一下发现了jsrsasign满足需求,所以顺便研究了一下jsrsasign 。首先去官网下载压缩包,解压后只需要引用其中的jsrsasign-all-min.js文件即可。初始化一下公钥和私钥(实际可以根据业务需求只使用公钥或者私钥)// 公钥let pk="-----BEGIN PUBLIC KEY...
Python爬虫系列之某了么h5签名sign算法
Packager
07-04 1237
饿了么h5签名sign算法
接口验签规则
上善若水
12-01 483
加签验签,发送消息方,对消息加签名;接受消息方,验证签名是否正确。
支付宝PC扫码支付或H5支付,浏览器form表单提交(中文乱码),出现验签失败问题(invalid-signature)
我迷了鹿
10-14 3873
部分浏览器使用document.write()直接输出html(form表单提交),出现中文乱码,验证签名失败问题 原因:部分浏览器使用原页面编码,编码格式不同,导致中文乱码出现,参数验证签名失败 解决方法: 添加form标签属性accept-charset="UTF-8"onsubmit="document.charset='UTF-8'"设置提交格式 onsubmit="...
微信小程序&h5页面api红包代发接口源码
最新发布
01-23
微信小程序是由微信推出的一种轻量级应用程序,用户可以在微信中直接打开使用,无需下载安装。小程序的便捷性和轻便性使其受到了广泛的欢迎和应用。 微信小程序可以满足用户在微信中的各种需求,比如生活服务、社交交流、娱乐游戏等。用户可以通过微信小程序实现在线购物、外卖点餐、查看天气、预约挂号等功能,也可以通过小程序进行社交分享、玩游戏、学习知识等活动。因此,微信小程序为用户提供了便捷、快速、多样化的使用体验。 对于开发者来说,微信小程序也提供了丰富的开发资源和工具,开发者可以利用小程序开发框架和开发者工具,轻松地开发、调试和发布自己的小程序。同时,微信小程序还提供了丰富的接口和扩展能力,可以满足不同开发需求的个性化定制。 微信小程序的普及和应用,不仅促进了用户和开发者之间的互动和交流,也为企业和商家提供了更多的营销渠道和商机。通过微信小程序,企业可以进行品牌宣传、产品销售、服务推广等活动,从而开拓更广阔的市场。 总的来说,微信小程序作为一种全新的应用形式,极大地丰富了微信生态系统,为用户、开发者和企业提供了更多的便利和机会,是一种颇具发展前景的应用形式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值