三、接口开发-REST接口安全之数字签名

最新推荐文章于 2024-04-20 13:58:52 发布
最新推荐文章于 2024-04-20 13:58:52 发布
阅读量909 收藏 3
点赞数 2
分类专栏: Java 接口开发篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34609370/article/details/95067464
版权
为了保证http请求数据的安全性,防篡改性以及用于标示机构身份,防止伪造的接口请求。一、MD5算Hash方式:加密规则可以根据双方接口协商定义,示例如下:1. 参数说明接口协议中通常会提供一个 appKey作为唯一的标识。appSecret作为接入密钥。例如:appkey=hehedaappSecret=39ertfefdsg406c7c36592d42022aaecc(简单的可以是...
摘要由CSDN通过智能技术生成

为了保证http请求数据的安全性,防篡改性以及用于标示机构身份,防止伪造的接口请求。
一、MD5算Hash方式:
加密规则可以根据双方接口协商定义,示例如下:
1. 参数说明
接口协议中通常会提供一个 appKey作为唯一的标识。appSecret作为接入密钥。
例如:
appkey=heheda
appSecret=39ertfefdsg406c7c36592d42022aaecc(简单的可以是base64转换一下即可,作用:用于机构验证推送请求参数中的hash)
请求路径:
http://www.heheda.com/login
请求参数
appKey 合作方平台标识
name 用户名
idcard 识别号
phone 手机号
time Unix时间戳
sign 签名串

2. 加密规则
(1)将筛选的参数按照第一个字符的键值ASCII码递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的键值ASCII码递增排序,以此类推。
(2)将排序后的参数与其对应值,组合成“参数=参数值”的格式,并且把这些参数用&字符连接起来,此时生成的字符串为待签名字符串
(3)生成签名:sign = md5(待签名字符串)

参数列表为:
appKey=1heheda,
name=2呵呵哒
idcard=3666666
phone=42365247895
time=5234567891
待签名字符串为(取排序后的结果,这里私钥appSecret不参与排序):
appKey=1heheda&name=2呵呵哒&idcard=3666666&phone=42365247895&time=5234567891

》》生成签名 sign = md5(appKey=1heheda&name=2呵呵哒&idcard=3666666&phone=42365247895&time=5234567891)

3. 处理流程
我们根据加密要求,把要传送的字段进行排序和MD5加密生成数字签名。将加密后的结果和传输的字段一并送过去。
appKey=1heheda&name=2呵呵哒&idcard=3666666&phone=42365247895&time=5234567891&&appSecret=密钥&sign=签名串。

4.验证方式
如何保证这条http请求能够正常请求相应数据呢?
提供接口方,也是根据传输的字段(appKey=1heheda&name=2呵呵哒&idcard=3666666&phone=42365247895&time=5234567891)进行排序和MD5加密(根据appSecret=密钥)。将加密后的结果verifySign(服务方)与sign(请求方)进行比较。如果相同,就说明是一个正常的请求。反之,就是以非法请求。
核心代码Md5Util.

/**md5哈希处理参数
	 * @param param 参数列表
	 * @param orgSecretKey 机构API私钥
	 */
	public static Map<String, String> hash(Map<String, String> param,String orgSecretKey) {
   
        
        StringBuilder sb = new StringBuilder();
        Iterator iterator = param.keySet().iterator();
        while (iterator.hasNext()) {
   
            sb.append(param.get(iterator.next()));
        }
        param.put("hash", md5(sb.toString() + orgSecretKey, "UTF-8").toUpperCase());
        return  param;
    }

	/**
	 * md5
	 * @param msg
	 * @param charset
	 * @return
	 */
	public static String md5(String msg, String charset) {
   
        try {
   
            System.out.println("md5Src:" + msg);
            MessageDigest digest = MessageDigest.getInstance("md5");
            byte[] hashedBytes = digest.digest(msg.getBytes(charset));
            String rst = byts2hexstr(hashedBytes);
            System.out.println("md5:" + rst.toUpperCase()
最低0.47元/天 解锁文章
呵呵哒666
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 根据 Map 的 key 的 ASCII 从小到大排序
huangqiqing123的专栏
10-17 3025
Java 根据 Map 的 key 的 ASCII 从小到大排序 当前主流的公有云,如亚马逊、阿里云、腾讯云, 其API的访问都支持使用签名信息,以验证请求者的身份。 而生成签名信息的第一步, 就是对请求参数进行排序,按照ASCII升序排列。 下面示例将展示,Java环境下,如何对请求参数进行ASCII升序排序。 import java.util.Arrays; import java.u...
签名生成 参数列表(Map、List)ASCII从小到大排序典顺序)
耗子他大哥
06-25 5013
生成签名到的两种场景,做下记录。 参数列表为LIst ArrayList&amp;amp;amp;amp;amp;amp;lt;String&amp;amp;amp;amp;amp;amp;gt; list = new ArrayList&amp;amp;amp;amp;amp;amp;lt;&amp;amp;amp;amp;amp;amp;gt;(); list.add(age); list.add(name); list.add(hobb); String si
接口测试必备技能 - 加密和签名!
最新发布
04-20 831
1、什么是加密以及解密? 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据
用API验证数字签名
11-21
用API验证数字签名,需要下载jedi api library。下载地址:http://sourceforge.net/projects/jedi-apilib/files/
接口安全--http数字签名
dgqvhtlwq472235338的博客
03-27 75
原文:https://blog.csdn.net/u011521890/article/details/55506716 import java.io.UnsupportedEncodingException; import java.security.SignatureException; import java.util.Comparator; import jav...
REST签名认证
weixin_34137799的博客
06-21 154
139 开放平台与应用之间以REST协议进行通讯,为了保证通信的安全性,开放平台加入签名认证机制。应用一旦创建,系统生成唯一并且不公开的secretkey,只有应用的拥有者和开放平台知道。因此,当应用请求开放平台时,把请求的参数以及开放平台分配的secretkey进行MD5 HASH生成sig,从而保证通信的安全。  签名生成规则 把所有的请求参数按照典顺序进行排序;注意:请把参数的连接...
REST API 安全设计指南
唐僧打怪兽
10-20 1339
REST的全称是REpresentational State Transfer,它利用传统Web特点,提出提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API
web接口数字签名
patmos
11-06 959
web接口数字签名 什么是数字签名 所谓数字签名(Digital Signature)(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名, 但是使用了公钥加密领域的技术实现,用于鉴别数信息的方法。一套数字签名通常定义两种互补的运算,一个用 于签名,另一个用于验证。 数字签名的实现 数字签名的简单实例是直接利用RSA算法和发送方的秘密密钥。对被签名的数据进行加密。当接收方收取本块 密文时,使用发送方的公开密钥进行解密,如果能够还原明文,则根据公开密钥体制的特点(公开密钥加密的密文 只能用秘密
springboot使用jwt保护RestApi接口.docx
07-14
JWT是一个轻量级的标准,允许在各方之间安全地传递信息,这些信息可以被验证并信任,因为它们是数字签名的。 JWT的主要应用场景是授权(Authorization)。在用户成功登录后,服务器会返回一个JWT,这个令牌包含了...
api-rest-jwt:using使用JWT的Api Rest登录系统
05-05
这个信息可以被验证和信任,因为它是数字签名的。在API REST中,JWT通常用于实现状态less的会话管理。当用户成功登录后,服务器会生成一个JWT,并将其发送给客户端。客户端在后续的请求中将此JWT作为授权凭证,...
kohana-rest-angularjs-jwt:Kohana Framework 3.3 + REST + AngularJS + JSON Web Token 实验
07-04
这种信息可以被验证和信任,因为它是数字签名的。在Web应用中,JWT常用于用户认证和授权,客户端获取JWT后,可以在后续请求中携带该令牌,服务器通过验证令牌来确定用户的身份,而无需在每个请求中都查询数据库。 ...
Signed-REST-API:该软件包包含用于调用Signed REST API进行Binance交换的代
05-12
签名REST API在Binance中的使用是为了确保交易请求的安全性,因为它们需要附加一个由私钥生成的数字签名,验证请求的来源和完整性。 这个软件包的核心功能可能包括以下方面: 1. **认证过程**:使用API密钥和私钥...
rest-openssl-parser:提供用于解析 OpenSSL 支持的文件(如证书、密钥等)的 REST 接口
06-23
私钥则与公钥配套使用,用于解密由公钥加密的信息,或者进行数字签名,证明信息的完整性和发送者的身份。因此,能够方便地解析这些文件对于开发者来说非常实用,例如在验证服务器证书、管理本地密钥存储或者进行SSL/...
api接口数字签名
lrq3的专栏
08-28 1610
必要的输入参数 参数名 类型 必选 描述 appid string 是 调用方身份ID,接口提供方用此来识别调不同的调用者,该参数是API基本规范的一部分,请详见API公共规范。 _ign string 是  一次接口调用的签名值,服务器端 “防止 伪
数字签名API使用
yangdili的博客
04-10 642
直接上代: import java.io.IOException; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.MessageDigest; import java.secur
REST API安全设计指南
飞龙在天
11-29 3043
REST的全称是REpresentational State Transfer,它利用传统Web特点,提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计
RESTful接口签名认证实现机制
黄刚的技术博客
06-01 8688
RESTful接口        互联网发展至今,催生出了很多丰富多彩的应用,极大地调动了人们对这些应用的使用热情。但同时也为互联网应用带来了严峻的考验。具体体现在以下几个方面: 1.     部署方式的改变:当用户量不多的情况下,可能只需部署一台服务器就可以解决问题,但是当很多用户的情况下,为抗住高并发访问,需要组成应用集群对外提供服务; 2.     应用构建的改变:很多应用采用了多种技
API-接口安全签名(一)
xulong5000的专栏
06-25 642
1:先上一个简单的安全签名示例:该例子是一个简单的联合登入 功能的api安全校验。 下面是签名方法: 注意:getsign里面的参数 是调用方 传来的数据, method,api_version是 一些常量,商量好传来的参数,需要校验参数是否正确。 uname ,password 是用户名跟密。需要在登入页面里面做实际操作, token:是跟调用方商量好的常量。不放在参数里面。只需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值