Rest Api访问控制

最新推荐文章于 2023-12-06 17:23:34 发布
最新推荐文章于 2023-12-06 17:23:34 发布
阅读量374 收藏
点赞数
分类专栏: java 文章标签: rest api hmac auth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35462323/article/details/107857688
版权

2000年,Roy Thomas Fielding在他的博士论文中提出的概念。 Fielding将他对互联网软件的架构原则,定名为REST,即Representational State Transfer的缩写。这个词组的翻译是"表现层状态转化"。

REST API一般用来将某种资源和允许的对资源的操作暴露给外界,使调用者能够以正确的方式操作资源。Rest API需要清晰定义哪些操作能够公开访问,哪些操作需要授权访问。一般而言,如果对RestAPI的安全性要求比较高,那么,所有的API的所有操作均需得到授权。也就是我们要思考如何设计用户认证的体系(Authentication)。

在HTTP协议之上处理授权有很多方法,如HTTP BASIC AuthOAuthHMAC Auth等,其核心思想都是验证某个请求是由一个合法的请求者发起。

basic auth是一种基于用户名密码的认证,每次访问都需带上用户的用户名密码,用户的密码暴露在网络之中,这种方案存在安全问题。 OAuth是一种比较通用的,安全的认证方式,不需要用户名密码,只需要用户授权;OAuth的核心部分与HMAC Auth差不多,只不过多了很多与token分发相关的内容。

这里我们主要介绍下HMAC Auth。

HMAC主要在请求头中使用两个字段:Authorization和Date(或X-Auth-Timestamp)。Authorization字段的内容由":"分隔成两部分,":"前是access-key,":"后是HTTP请求的HMAC值。在API授权的时候一般会为调用者生成access-key和access-secret,前者可以暴露在网络中,后者必须安全保存。当客户端调用API时,用自己的access-secret按照要求对request的headers/body计算HMAC,然后把自己的access-key和HMAC填入Authorization头中。服务器拿到这个头,从数据库(或者缓存)中取出access-key对应的secret,按照相同的方式计算HMAC,如果其与Authorization header中的一致,则请求是合法的,且未被修改过的;否则不合法。

GET /photos/puppy.jpg HTTP/1.1
Host: johnsmith.s3.amazonaws.com
Date: Mon, 26 Mar 2007 19:37:58 +0000

Authorization: AWS AKIAIOSFODNN7EXAMPLE:frJIUN8DYpKDtOLCwo//yllqDzg=

 

可能的实现:
1、网站为调用者生成一个access-key和access-secret, 其中access-key用表示访问身份,access-secret,用于加密签名字符串和服务端验证签名字符串的密钥。
2、调用者发起请求,首先使用请求参数构造规范化的请求字符串。
3、将上一步构造的规范化字符串按照一定的规则构造成待签名的字符串。
4、计算待签名字符串StringToSign的HMAC值。
6、按照某种编码规则(比如Base64)把上面的HMAC值编码成字符串,即可得到签名值(signature)
7、将得到的签名值最为signature参数添加到请求参数中,发送给服务端。

8、服务端请求参数中获取signature,从数据库(或者缓存)中取出access-key对应的secret,按照相同的方式生成signature,如果其与参数中的signature一致,则请求是合法的,且未被修改过的;否则不合法。

流程大致如下图:

 

java代码示例:

SignatureUtil.isSignatureValid
import org.apache.commons.lang.StringUtils;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SignatureException;
import java.util.ArrayList;
import java.util.Collections;
import java.util.List;
import java.util.Map;

public class SignatureUtil {

    /**
     * 校验签名是否有效
     *
     * @param paramMap
     * @param key
     * @param signature
     * @return
     */
    public static boolean isSignatureValid(Map<String, String> paramMap, String key,
                                           String signature) throws SignatureException {
        String mySignature = null;
        try {
            mySignature = createSignature(paramMap, key);
        } catch (SignatureException e) {
            e.printStackTrace();// should not happen
            throw e;
        }
        if (mySignature.equals(signature)) {
            return true;
        }
        return false;
    }

    /**
     * 创建签名字符串
     *
     * @param paramMap
     * @param key
     * @return
     * @throws SignatureException
     */
    public static String createSignature(Map<String, String> paramMap, String key)
        throws SignatureException {
        String data = getParamString(paramMap);
        try {
            SecretKeySpec signingKey = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA1");
            Mac mac = Mac.getInstance("HmacSHA1");
            mac.init(signingKey);
            byte[] rawHmac = mac.doFinal(data.getBytes("UTF-8"));
            return DatatypeConverter.printBase64Binary(rawHmac);
            // Base64 only valid in Java8
            //return new String(Base64.getEncoder().encode(rawHmac));
        } catch (NoSuchAlgorithmException e) {
            throw new SignatureException("no such algorithm.", e);
        } catch (InvalidKeyException e) {
            throw new SignatureException("invalid key.", e);
        } catch (UnsupportedEncodingException e) {
            throw new SignatureException("unsupported encoding.", e);
        }
    }

    public static String getParamString(Map<String, String> paramMap) {
        if (paramMap == null || paramMap.isEmpty()) {
            return null;
        }
        StringBuilder buffer = new StringBuilder();
        List<String> keys = new ArrayList<String>(paramMap.keySet());
        Collections.sort(keys);
        for (String key : keys) {
            String value = paramMap.get(key);
            if (StringUtils.isNotBlank(value)) {
                try {
                    value = URLEncoder.encode(value, "UTF-8");
                } catch (UnsupportedEncodingException e) {
                    value = null;
                }
            }
            buffer.append("&").append(key).append("=").append(value);
        }
        return buffer.substring(1);
    }

}

python代码示例:

#!/usr/bin/env python
# coding=utf-8

import hashlib
import hmac
import urllib
import base64
import datetime


class SignatureUtil(object):

    @staticmethod
    def get_time_stamp():
        return datetime.datetime.utcnow().strftime('%Y-%m-%dT%H:%M:%SZ')

    @staticmethod
    def get_param_string(params):
        if not isinstance(params, dict):
            return ""
        params = SignatureUtil.convert_param_value_to_string(params)
        param_list = sorted(params.keys(), reverse=False)
        return "&".join(["%s=%s" % (param, urllib.quote_plus(params[param]).replace("%2A", "*")) for param in param_list])

    @staticmethod
    def convert_param_value_to_string(params):
        for key in params:
            value = params[key]
            # print value
            if isinstance(key, unicode):
                params.pop(key, "")
                key = key.encode('utf-8')
                params[key] = value

            if isinstance(value, unicode):
                params[key] = value.encode('utf-8')
            elif not isinstance(value, str):
                value = str(value)
                params[key] = str(value)

        return params

    @staticmethod
    def create_signature(params, key):
        data = SignatureUtil.get_param_string(params)
        hashed = hmac.new(str(key), data, hashlib.sha1)
        return base64.b64encode(hashed.digest())

注:以上签名计算需要满足:
对所有参数(signature除外)按照参数名的字母顺序排序,并按&连接,所有参数在计算signature之前都需要进行utf-8编码。

HMAC Auth会保证一致性:请求的数据在传输过程中未被修改,因此可以安全地用于验证请求的合法性。

参考文档:

Rest API设计相关:https://github.com/aisuhua/restful-api-design-references

PostgreSQL运维技术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6.访问REST API
Jennyni1122的博客
11-12 278
##6.1 问题 应用程序需要通过HTTP访问RESTful API,实现与远程主机上Web服务的交互。 注意: REST(Representational State Transfer,表述性状态转移)是一种常见的Web服务器架构风格。RESTful API通常用标准的HTTP动作构建,以创建对远程资源的请求。返回的响应通常是标准文档格式,例如XML、JSON或逗号分隔符(Comma-Separ...
REST API 并发控制
datiancai2008的专栏
09-17 8069
对请求做并发限制是在后端处理能力有限的情况下,防止因某单一用户大量请求将服务器资源暂满导致无法响应其他用户请求的安全保护措施。常见的并发限制方法就是限制用户在某一段时间内的请求数目,如100r/s,即限制用户1s内最多请求100次,超过就拒绝访问。下面介绍几种常见并发控制的实现方法。1. memcache/redismemcache和redis等nosql的提供了以下两个特性,可以很好的支持对请求进
3.6 访问REST API
11-23
应用程序需要通过HTTP访问RESTful API,实现与远程主机上Web服务的交互。
如何控制对REST API访问
danpu0978的博客
04-22 200
通过REST API公开数据或应用程序是一种吸引广泛受众的绝妙方法。 但是,广大观众的不利之处在于,不仅仅是那些好人来找。 保护REST API 安全性包括三个因素: 保密 廉正 可用性 就Microsoft的STRIDE方法而言,我们希望避免的安全漏洞包括信息泄露,篡改和拒绝服务。 这篇文章的其余部分将只关注机密性和完整性。 在基于HTTP的API的上下...
配置REST API数据访问
最新发布
XZZ_2018的博客
12-06 985
配置REST API数据访问
rest接口_Web服务开发:Spring Boot集成Redis,控制REST访问频率
weixin_39707168的博客
11-26 236
目录:1. Spring Boot集成Redis2. 封装服务RedisService.java3. 单元测试RedisServiceTest.java4. Redis读写功能调用5. Redis使用技巧:控制REST接口访问频率6. 封装Annotation注解,灵活控制REST接口访问频率7. 代码优化:ExceptionHandler全局处理异常Redis是一个高性能的key-value数据...
基于Django REST framework的 接口级别权限 角色访问控制 (使用RBAC7表 / 可自动生成权限数据 / 可自动进行权限校验)
WRhan的博客
03-17 6248
drfRBAC 基于Django REST framework的 接口级别 角色访问控制 django-rest-framework RBAC 角色访问控制 接口级别权限 自动权限类生成 自动权限表数据生成 自动权限校验 只需着重于权限的分配
Centos Docker1.12 远程Rest api访问的配置方法
09-30
在CentOS 7中,Docker 1.12版本,可以通过配置开启远程REST API访问来实现这一功能。下面将详细介绍如何配置CentOS Docker 1.12以允许远程REST API访问。 首先,Docker默认使用Unix套接字(socket)与守护进程通信...
camunda-rest-client:用于rest api的Java客户端
07-12
Camunda REST 客户端是一个专门设计用于与Camunda BPM平台进行交互的Java库,它提供了方便的方法来访问和操作Camunda的REST API。这个客户端是基于Apache CXF框架构建的,Apache CXF是一个强大的开源服务开发框架,...
ESP-StepperMotor-Server:通过Web UI,REST API和串行控制界面将ESP32变成完整的步进电机控制服务器
02-05
该服务器提供三种交互方式:Web用户界面(Web UI)、RESTful应用程序接口(REST API)以及串行控制界面,为用户提供灵活且高效的步进电机控制选项。 首先,我们要了解ESP32。ESP32是Espressif Systems公司推出的一...
Cyber​​Ark-RESTAPI:Cyber​​Ark Web服务REST API-邮递员的馆藏备份
02-06
3. 政策管理:设置密码策略、访问控制和审批流程。 4. 自动化工作流:实现密码轮换、凭据安全复制等任务的自动化。 5. 特权会话管理:记录和控制对特权系统的访问。 6. 组织结构管理:管理安全资源的组织和分组。 ...
Python库 | plone.restapi-7.5.0.tar.gz
03-09
3. 认证和授权:plone.restapi通常会集成Plone的安全模型,允许对资源进行细粒度的访问控制,确保只有经过身份验证和授权的用户才能执行特定操作。 4. 资源表示:库可能包含对Plone对象的序列化和反序列化逻辑,以...
使用Boxfuse为您的REST API设置https
最佳 Java 编程
06-02 163
在我的上 一篇 文章中,我展示了在Boxfuse的帮助下,基于Spring Boot框架建立REST API并在AWS上运行非常容易 。 下一步是利用SSL与API进行通信。 通过使用SSL,我们确保在REST API服务器和API客户端之间的传输过程中保存了数据 。 要为Spring Boot应用程序设置SSL,您必须执行以下两个步骤: 创建一个密钥库 配置Spring Boot...
访问rest接口
一只小怪的笔记
12-15 1437
导入jar包:commons-beanutils-1.7.0.jar commons-collections-3.1.jar commons-lang-2.5.jar commons-logging.jar ezmorph-1.0.3.jar json-lib-2.4-jdk15.jar httpclient-4.3.2.jar httpcore-4.3.2.jar代码: import java.i
java rest 密钥对_REST身份验证并公开API密钥
weixin_42159267的博客
02-27 211
慕运维8079593我们正在公开一个API,合作伙伴只能在他们向我们注册的域上使用。它的内容部分是公开的(但最好仅在我们已知的域中显示),但大部分对我们的用户是私有的。所以:要确定什么是所示,我们的用户必须和我们一起登录,但这是分开处理。要确定其中显示的数据,公共API密钥是用来限制进入我们知道域,首先要保证用户私有数据不会受到CSRF。这个API密钥的确对所有人可见,我们不会以任何其他方式对我们...
ADManager Plus可以与ServiceDesk Plus集成了!
weixin_40188275的博客
11-26 488
想象一下,帮助台处理IT事务和管理AD域用户都在一个控制台下执行,应该是多么的简单高效? ManageEngine 将两大最受欢迎的IT解决方案ADManager Plus 和ServiceDesk Plus集成在一起,二者功能都非常强大。前者专注AD域, Exchange, Office 365等的管理和报表,后者在处理IT事务时可提供高可视性和集中控制的帮助台。现在,两种解决方案无缝地集...
REST API 的最佳入门教程
weixin_30580943的博客
12-15 7130
如果你看到这里,你以前可能听说过APIREST,然后你就会想:“这些都是什么东西?”。也许你已经了解过一些这方面的知识,但却不知道从何入手。在这个教程中,我将会诠释REST的基础以及如何给应用创建一个API(包括认证授权) 什么是API? API是Application Programming Interface(应用程序界面)的缩写,它是拿来描述一个类库的特征或是如何去运用它。你个...
rest接口调用
zhangxiaolang1的博客
04-30 1万+
在调用的一方(测试方(B项目))添加依赖&lt;dependency&gt;         &lt;groupId&gt;org.apache.httpcomponents&lt;/groupId&gt;         &lt;artifactId&gt;httpclient&lt;/artifactId&gt;&lt;/dependency&gt;一、被调用的方(A项目)的接口代码实现@Re...
Java遍历JsonObject对象
热门推荐
深海微澜
06-13 6万+
方法: Iterator iter = jsonInfo.entrySet().iterator(); 代码示例: public class Test { public static void main(String[] args) { JSONObject jsonInfo = new JSONObject(); String...
ArcGIS Server 9.3 REST API 基础教程
"这篇文档是《ArcGISServer9.3 REST基础教程》,由ESRI中国(北京)有限公司提供,旨在介绍如何使用REST API进行ArcGIS Server的基础开发。教程不仅包含REST API的基本示例,还分享了最佳实践,适合初学者和有经验的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值