验签设计及安全防护

最新推荐文章于 2021-07-06 21:31:35 发布
最新推荐文章于 2021-07-06 21:31:35 发布
阅读量852 收藏
点赞数 3
分类专栏: 安全 java android 文章标签: 验签 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23081779/article/details/90175516
版权

不参与验签规则

  1. 如果key中包含WithoutSign,该key不参与验签;
  2. 请求url的字符串,如果请求的url中包含WithoutSign,该接口不参与验签;

验签

协议规则
  1. 传输方式:为保证交易安全性,建议采用HTTPS传输
  2. 提交方式:采用POST方式提交
  3. 数据格式:提交数据都为json;返回数据采用JSON
  4. 字符编码:统一采用UTF-8字符编码
  5. 签名算法:MD5
  6. 签名要求:请求和接收数据均需要校验签名,详细方法请参考安全规范-数字签名
签名算法
  1. 除sign字段外,所有参数按照字段名的ascii码从小到大排序后使用QueryString的格式(即secret=yh&key1=value1&key2=value2…)拼接而成,空值不传递,不参与签名组串。
  2. 公式:sign=Md5(原字符串).toUpperCase
  3. 举例说明:deviceId=098f6bcd4621d373cade4e832627b4f6&timestamp=1513302406&token=36165415151dsvd
  4. 得到的sign=Md5(secret=yh&deviceId=098f6bcd4621d373cade4e832627b4f6&timestamp=1513302406&token=36165415151dsvd).toUpperCase()=7648CE21E5FF1C9B905B3344660CC12D
  5. header中的值参与验签;
web端
  1. web端的secret传yhWeb
app客户端
  1. Header中需传以下参数:deviceId(手机唯一标识,ios使用udid)、producer(android使用android.os.Build.MANUFACTURER、ios使用固定字符串apple)、channelId(渠道id,ios使用app store)、ip(手机的ip地址)、timestamp(
最低0.47元/天 解锁文章
droidDing
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
接口安全设计之接口验签
xlj_bear的博客
04-02 546
最近接到一个需求,在海外客户还款之前,都是通过一个还款链接去还款,但是还款链接内没有任何的客户信息,所以需要还款之前,进入一个前置信息确认页面,就需要后端先提供一个查询接口给前端,但是需要参数明文传递给前端,其中包含订单号,金额及还款类型。在原本的请求链接不变的情况下,加一个sign参数,针对当前参数进行签名,在请求后端的时候,需要先验证签名,如果验签不通过,则直接返回error,否则认定参数没有被修改,继续生成还款链接。当请求到达后端之后,去查询当次请求的参数,然后去生成真实的还款链接给客户还款。
java安全入门篇之接口验签(原创)
weixin_30291791的博客
03-16 345
文章大纲 一、加密与验签介绍二、接口验签实操三、项目源码下载 一、加密与验签介绍   大多数公共网络是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被截获的、篡改、重放(重发)的。因此我们需要考虑以下几点内容: 防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) ...
常见接口验签规则
09-28 466
签名计算方法 进教室签名的计算方式与直播服务端API接口中计算方式相同,即: 将参与签名计算的参数按key进行排序。 将排好序的参数接成key1=value1&key2=value2&...&keyN=valueN。 将以上拼好的串后面再拼上&partner_key=<partner_key>,其中<partner_key&g...
网络安全-加密验签方案
心相印的专栏
10-19 925
互联网中,在与外界进行通讯的时候,通常需要加密验签,一般加密验签是为了保证数据的完整性、保密性以及不可否认性(身份识别),这里提供一种比较全面的加密方案: 这里假设明文数据为data,那么加密的过程为: 对data做单向加密(md5),生成签名摘要s=sign(data); 用发送方的私钥对s加密,加密后s1=SenderPrivateKey(s),SenderPri
加密与解密、加签与验签
编程日常记录与总结 https://franciswmf.iteye.com
08-30 517
参考博客: --SHA-1算法、SHA-2算法 [url]https://www.sohu.com/a/192953382_604699[/url] --SSH 密钥类型的的选择(RSA, DSA or Other) [url]http://blog.sina.com.cn/s/blog_6f31085901015agu.html[/url] --DSA和RSA的区别 [url]ht...
BIOS安全更新及保护系统设计
10-17
《BIOS安全更新及保护系统设计》 随着计算技术的快速发展,BIOS(基本输入输出系统)作为计算机系统的核心组成部分,其安全性日益受到关注。由于BIOS固件直接控制着系统的初始化和启动过程,一旦遭受恶意攻击,可能...
一种Android应用安全审核认证系统的设计方案.pdf
09-22
标题提及的是一种Android...综上所述,该设计方案关注的是Android应用的安全性,特别是针对智能电视环境,提出了一个从商城到终端的全方位安全防护策略,包括多层安全检测和终端验证,以提高用户下载和使用的安全性。
中国电信湖南公司银企互联安全加固成功案例
08-27
本案例聚焦于中国电信湖南公司银企互联系统的安全加固项目,旨在通过部署SID强身份认证系统,构建一套全面的安全防护体系,以应对可能的安全威胁。 #### 二、项目需求与技术方案 ##### 2.1 需求分析 项目的核心...
架构评审一百问和设计文档五要素1
08-03
安全性涵盖SQL注入和XSS防护,风控策略,防刷机制,数据和功能权限控制,日志审计,以及对DDoS攻击的防御。数据传输的安全性也不能忽视,需要加密和验签。 兼容性涉及到新旧系统的过渡,新服务如何与其他系统集成,...
IoT_Reverse_Engineering.pdf
08-08
IoT 设计架构里有三个重点,调试接口、固件与存储,都是容易出问题的地方。那比较常见的防护措施有哪些呢? 固件来讲就是加密与验签 硬件上会有一种叫做一次性存储芯片和eFuses熔断的产品 调试口常见的方式就是禁用 ...
接口设计中,如何封装对json格式的数据签名
xiehuanqing00的专栏
02-06 4105
目录 一、背景介绍 二、遇到的问题 三、解决方案 1、设计一个HttpServletRequestWrapper 2、设计一个filter 四、其他辅助设计 1、定义一个注解 2、定义一个拦截器 一、背景介绍 spring mvc的接口设计,对json数据进行统一的签名验证设计 二、遇到的问题 spring mvc 的接口设计中,如果每个接口都要做一次参数签名验...
微信支付--签名篇
吴唐人的博客
07-12 7498
微信支付, 是基于微信客户端提供的支付服务功能。 同时向商户提供销售经营分析、 账户和资金管理的功能支持。 用户通过扫描二维码、 反扫二维码等多种方式调起微信支付模块完成支付。 原始签名字符串 无论是请求还是应答, 签名原始串按以下方式组装成字符串: 1、 除 sign 字段外, 所有参数按照字段名的 ascii 码从小到大排序后使用 QueryString 的格式(
字段名的 ascii 码从小到 大排序后使用 QueryString 的格式(即 key1=value1&key2=value2…)拼接而成
上善若水
02-25 3472
/** * 生成签名,根据字段名ascii码,从小大到大 * @param info * @return */ public static String putPairsSequenceAndTogether(Map&lt;String, String&gt; info) { List&lt;Map.Entry&lt;String, String&gt;&gt; infoIds =...
【数字签名】如何正确地加签/验签
weixin_41855143的博客
07-06 1093
       项目上需要用到数字签名,原本是简单的服务器签名,客户端验签的流程。因为ios端没有找到比较好的验签库,故根据网传的步骤实现验签,但死活验签不成功,折腾了半天。        网上的验签流程: 数字签名的技术流程描述如下: 发送方使用摘要算法对原文HASH生成信息摘要; 发送方使用自己的私钥对信息摘要进行签名(加密); 发送方将原文本身和已签名的信息摘要一
签名操作:实现参数ASCII码从小到大排序,然后拼接为url参数形式
lxy826076的博客
05-31 1万+
做签名操作时经常要对参数进行排序后再进行加密,下面是自己项目中用到的一小段代码public String createSign(Map&lt;String, String&gt; params, String privateKey){ StringBuilder sb = new StringBuilder(); // 将参数以参数名的字典升序排序 ...
签名生成 参数名ASCII码从小到大排序
Haibing的博客
03-26 3万+
签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&amp;key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ...
签名生成 参数列表(Map、List)ASCII码从小到大排序(字典顺序)
耗子他大哥
06-25 5020
生成签名遇到的两种场景,做下记录。 参数列表为LIst ArrayList&amp;amp;amp;amp;amp;amp;lt;String&amp;amp;amp;amp;amp;amp;gt; list = new ArrayList&amp;amp;amp;amp;amp;amp;lt;&amp;amp;amp;amp;amp;amp;gt;(); list.add(age); list.add(name); list.add(hobb); String si
请求参数按照ASCII码从小到大排序后追加秘钥再进行加密得到签名值
热门推荐
Jack 架构师之路
09-01 14万+
引言 最近在和银行对接一些就接口,甲方对于我们接口数据要求如下: 1、双方需要采用https双向认证方式传输数据 2、请求参数采用全报文加密方式 3、请求参数按照ASCII码从小到大排序后追加秘钥再进行加密得到签名值 本文主要介绍一下签名的生成工具类代码; Step 1: 对所有传入参数按照字段名的 ASCII 码从小到大排序(字典序)后,使用 URL 键值对的 格式(即 k...
参数按照参数名ASCII码从小到大排序
“花花”公子_龙的博客
09-06 9333
参数按照参数名ASCII码从小到大排序--代码如下 /** * @Author : lilong * @Description :根据签名算法得出签名---参数按照参数名ASCII码从小到大排序(字典序) * @Date : 10:55 2018/6/5 **/ public String createSign(Map&lt;String, S...
python SM2签名及验签
最新发布
06-02
Python可以使用pycryptodome库实现SM2签名和验签。具体步骤如下: 1. 生成SM2密钥对,公钥和私钥。可以使用pycryptodome等库实现。 ```python from Crypto.PublicKey import ECC from Crypto.Signature import DSS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值