接口签名-一次API接口的设计开发-

最新推荐文章于 2024-04-29 17:16:20 发布
最新推荐文章于 2024-04-29 17:16:20 发布
阅读量601 收藏
点赞数
文章标签: 服务器 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34331912/article/details/129843589
版权

1 业务

与第三方系统进行技术对接,提供api接口。

最常用的方案,主要有两种:
token方案
接口签名

2 接口签名

接口签名,是通过一些签名规则对参数进行签名,然后把签名的信息放入请求头部(或做为参数传递),服务端收到客户端请求之后,同样的按照已定的规则生产对应的签名串与客户端的签名信息进行对比,如果一致,就进入业务处理流程;如果不通过,就提示签名验证失败。
在这里插入图片描述
在接口签名方案中,主要有四个核心参数:

  • 1、appid表示应用ID,其中与之匹配的还有appsecret,表示应用密钥,用于数据的签名加密,不同的对接项目分配不同的appid和- - appsecret,保证数据安全
  • 2、timestamp 表示时间戳,当请求的时间戳与服务器中的时间戳,差值在5分钟之内,属于有效请求,不在此范围内,属于无效请求
  • 3、nonce 表示临时流水号,用于防止重复提交验证
  • 4、signature 表示签名字段,用于判断接口请求是否有效。

其中签名的生成规则,分两个步骤:
第一步:对请求参数进行一次md5加密签名
//步骤一
String 参数1 = 请求方式 请求URL相对地址 请求Body字符串;
String

最低0.47元/天 解锁文章
壹玖玖肆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9305
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
轻松实现开放接口签名和验签
竹林幽深
12-01 833
开放接口是指不需要登录凭证就允许被第三方系统调用的接口,这个时候肯定要考虑接口数据的安全性问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题,为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。私钥和公钥直接保存在文件中spring:redis:port: 6379signature:key-pair:# 调用方IDtest-1:# 算法# 私钥# 公钥# 生效时间(分钟)自定义验签注解,控制哪些接口需要验签//允许重复请求。
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1486
接口加密知识科普
接口测试必备技能—加密和签名
最新发布
HUA1211的博客
04-29 578
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
API签名接口设计
A169388842的博客
06-22 826
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们就来讨论下常用的一些API设计安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享. 本章目录: token简介 timestamp 简介 sign 简介 防止重复提交 使用流程 代码分享 一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1619
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
HttpRunner接口sign签名的4种方式
wqchibingshaonian的博客
01-20 607
HttpRunner接口sign签名的3种方式 加密请求体写成json格式,然后对json里面进行sign签名 加密请求体写在sign请求体,然后对sign里面的进行sign签名,加密后重新赋值 不需要上面两种方式的多余操作,直接对请求体进行sign签名,然后sign签名后往请求体插入值 ...
航班管家OPEN-API接口说明
11-01
"航班管家"作为一款知名的出行服务应用,提供了OPEN-API接口,允许开发者通过调用这些接口来获取航班信息、预订机票等服务,从而为用户提供更加便捷的出行体验。下面我们将详细探讨“航班管家OPEN-API接口”的相关...
二维码统一管理平台-API接口文档.docx
10-26
《二维码统一管理平台-API接口文档》是一份详细的技术文档,主要针对的是开发人员,用于指导他们如何与二维码统一管理平台进行交互。这份文档的核心在于定义了一系列API接口,以实现对二维码的高效、统一管理和控制...
Python-Api签名验证样例
08-10
API(应用程序编程接口开发中,为了确保数据的安全传输,通常会采用签名验证机制。本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
开放平台设计接口签名认证
ybb_ymm的专栏
03-28 1713
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
吐血整理,接口测试(加密/解密/签名)实例,看这一篇就够了
m0_70102063的博客
03-17 1285
什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。1、加密方式详解1)加对称密技术DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
API接口签名验证
qq_25046827的博客
03-01 4595
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
java接口签名(Signature)实现方案续
aipiannian6725的博客
12-26 1169
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对...
开放接口API安全性之签名验证【url签名算法】
weixiaohuai的博客
05-29 5671
一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程中有没有被注入攻击。这时候客户端
接口添加统一签名,验签,加密,解密RequestBodyAdvice ResponseBodyAdvice
binglong180
08-12 2394
验签 加密 /** * @Description 解密、验签、处理requestBody * @Author YYJ * @Date 2019/7/25 */ @Slf4j @ControllerAdvice(basePackages = "cn.com.sgcc.sgec.ksplatform.module.emelt.app.controller") public class DecryptRequestBodyAdvice implements RequestBodyAdvice {
带有签名接口设计 -- 借鉴与改进
long13631的博客
03-29 468
带有签名接口设计 -- 借鉴与改进 一 原有参考逻辑 1加签(改造前) (1)将接口中实际全部上送的字段(除 sign 参数外),按照字段名的 ASCII 码从小到大排序后(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。  busicd=PURC&charset=utf-8&inscd=10130...
api平台通用签名机制
一个不靠谱的程序员
11-19 2095
通用API平台需要对每一个访问请求进行身份验证。 借鉴阿里云的SDK。 用户机制 API平台里的每一个用户有自己的uid。 每一个用户可以有一个或者多个appKey和appSecret。即一组appKey和appSecret标记一个应用。 其中appKey用来管理权限。【唯一】(24位随机字符串)(lumen里可以使用str_random()生成) appSecret用来签名。(32位随机字符串)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值