API签名认证讨论

最新推荐文章于 2024-02-01 23:10:49 发布
最新推荐文章于 2024-02-01 23:10:49 发布
阅读量224 收藏
点赞数
文章标签: java 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33944530/article/details/129362911
版权

API签名认证

本质:

1 签发签名

2 使用签名(校验签名)

为什么需要?

1 保证安全性,不能随便一个人调用

怎么实现?

通过 http request header 头传递参数。

参数 1:accessKey:调用的标识 userA, userB(复杂、无序、无规律)

参数 2:secretKey:密钥(复杂、无序、无规律)该参数不能放到请求头中

(类似用户名和密码,区别:ak、sk 是无状态的)

大家可以自己写代码来给用户生成 ak、sk

千万不能把密钥直接在服务器之间传递,有可能会被拦截

参数 3:用户请求参数

参数 4:sign

加密方式:对称加密、非对称加密、md5 签名(不可解密)

用户参数 + 密钥 => 签名生成算法(MD5、HMac、Sha1) => 不可解密的值

abc + abcdefgh => sajdgdioajdgioa

怎么知道这个签名对不对?

服务端用一模一样的参数和算法去生成签名,只要和用户传的的一致,就表示一致。

怎么防重放?

参数 5:加 nonce 随机数,只能用一次

服务端要保存用过的随机数

参数 6:加 timestamp 时间戳,校验时间戳是否过期。

API 签名认证是一个很灵活的设计,具体要有哪些参数、参数名如何一定要根据场景来。(比如 userId、appId、version、固定值等)

思考:难道开发者每次调用接口都要自己写签名算法?

Mr. CSY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 2733
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
API签名认证
incredible1024的博客
09-03 776
本文介绍 API 签名认证相关知识,包括:概念,作用,实现思路,完整逻辑。帮助你轻松掌握 API 签名认证相关知识,能够设计自己的 API 签名认证算法。
API 签名认证
最新发布
m0_74059961的博客
02-01 842
介绍了什么是 API 签名认证、为什么需要 API 签名认证以及如何实现 API 签名认证签名认证普遍需要六个参数,加密算法中的对称加密、非对称加密和单向加密并举出案例进行说明辅助理解
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
C#创建自签名认证文件的方法
09-03
在C#中创建自签名认证文件涉及到对Windows操作系统底层的加密API的调用。这里,我们主要讨论一个名为`Certificate`的内部类,该类提供了一些静态方法来生成自签名的.pfx文件。`.pfx`文件是一种包含了证书和私钥的二...
Api接口TOKEN+签名安全.zip
11-26
下面我们将详细讨论这两个概念以及它们在API接口安全中的应用。 1. **Token鉴权**: - **JWT(JSON Web Tokens)**:JWT是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息...
基于Java安全API的数字签名.pdf
12-29
在本文中,我们将介绍基于Java安全API的数字签名技术,并讨论其实现过程和潜在的不安全因素。 数字签名是指使用私钥对数据进行加密,然后将公钥、原始数据、签名后的数据传送给接收方。在接收方,使用公钥对签名后...
.net版本单点登录与权限管理(web api)
01-29
下面将详细讨论这两个主题以及它们在.NET Web API中的实现。 一、单点登录(SSO) 1. **概念**:SSO允许用户在一个应用系统中登录后,无需再次认证即可访问其他相互信任的应用系统。它减少了用户的登录步骤,提高了...
浅谈基于Token的WEB后台认证机制
08-26
今天,我们来讨论基于Token的WEB后台认证机制。该机制的主要思想是,在用户认证成功后,服务器端将生成一个Token,并将其返回给客户端。客户端将Token存储在localStorage或Cookie中,每次请求API时,都需要带上该...
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
api签名认证原来如此简单
carrot11223的博客
04-23 763
api签名认证,什么是accessKey,secretKey?这看完你不会我倒立!
API接口签名验证
qq_25046827的博客
03-01 4579
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
防止请求被篡改,从而对请求签名API接口签名认证
qq_49278026的博客
07-23 991
防止请求被篡改的解决方案,对请求参数进行签名的思路及实现
api接口不再裸奔——签名认证
漫漫长途,终有回转;余味苦涩,终有回甘
02-17 1639
在第三方调用api接口的时候,可能会存在以下几个问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 解决上述三个问题分为如下流程 1、合法性,通过请求许可来进行判断 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 目前广泛使用token和AccessKey作用一样,都是第三方合法性的认证标示 ...
api接口文档中的签名是什么
LQDSH的博客
07-22 2887
文章目录前言一、api文档中的签名是什么?二、对文档规则中的签名算法的认识三、生成签名的函数总结 前言 初入程序员行列,随着工作的不断展开,我对业务上的逻辑也逐渐熟悉。在开发过程中少不了看api文档,文档中常常又少不了签名,本文就介绍了我对API文档规则中签名的认识。 一、api文档中的签名是什么? 签名是一个参数sign,一般开发者会给出指定的签名算法,然后还会提供私钥,并将私钥参与签名算法,生成最后的签名签名会当作入参传入接口,接口内部会有相对应的签名算法进行校验,可以判断身份是否正确等等,签名.
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1709
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9303
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
API安全保护:授权、认证与加密策略
为了防止恶意第三方通过工具如Fiddler轻松截取和篡改数据,API请求需要进行签名认证。请求的URL结构包括schema、domain、path、query参数以及IMEI、timestamp和sign。签名方法基于所有参数(包括SIGN_KEY)生成sign...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr. CSY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值