三方对接接口数据安全问题

已于 2023-02-08 11:31:38 修改
阅读量578 收藏 5
点赞数
文章标签: java 安全 spring 设计规范
于 2022-07-29 17:43:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40264499/article/details/126060450
版权

文档说明

小记一下在与第三方对接过程的一些操作

对接流程

在这里插入图片描述

数据传输

每次请求均会对请求来源以及数据的合法性进行校验,采取以下策略,之后接口明细中会说明采用哪种加密方式

获取 Token

请求地址: POST https:xxxx
接口说明:获取调用凭据,有效期 24h、获取后之后调用接口添加到请求头 Authorization

请求参数
字段数据类型是否必传说明示例
app_idString客户端IDthirdpartner
app_secretString客户端密钥@m2!2q15^#0d&@
响应参数
字段说明示例
code响应状态码200
msg响应描述信息请求成功
data响应体eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQ…

常规数据加密

常规数据加密,每次请求数据添加随机字符串 once_str 和时间戳 timestamp 并通过 MD5 对全部数据进行加密、接收方对其进行校验证,示例如下

public class EncryptSign {

    public static final String APP_ID 	  = "thirdpartner";
    public static final String APP_SECRET = "@m*2!2q1*5^#0d&@";

    // 生成签名
    public static String createSign(SortedMap<String, String> params) {
        return params.keySet().stream()
                .sorted()
                .map(k -> k + "=" + params.get(k) + "&")
                .reduce((x, y) -> x + y)
                .map(d -> d.substring(0, d.length() - 1))
                .map(d -> d.concat(APP_SECRET))
                .map(EncryptSign::encode)
                .map(String::toUpperCase)
                .get();
    }

    public static boolean verifySign(HttpServletRequest request) {
        Map<String, String[]> params = request.getParameterMap();
        SortedMap<String, String> map = new TreeMap<>();
        String expSign = null;
        for (Map.Entry<String, String[]> pv : params.entrySet()) {
            String param = pv.getKey();
            String[] value = pv.getValue();
            if (!param.equals("sign")) {
                map.put(param, value[0]);
            } else {
                expSign = value[0];
            }
        }
        return expSign.equals(createSign(map));
    }

    public static String generateOnceStr() {
        return UUID.randomUUID().toString().replaceAll("-", "");
    }

    public static String encode(String value) {
        StringBuilder sb = new StringBuilder();
        try {
            MessageDigest md = MessageDigest.getInstance(MD5);
            byte[] bs = value.getBytes();
            byte[] mb = md.digest(bs);
            for (int i = 0; i < mb.length; i++) {
                int v = mb[i] & 0xFF;
                if (v < 16) {
                    sb.append("0");
                }
                sb.append(Integer.toHexString(v));
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return sb.toString();
    }

    public static void main(String[] args) {
        //创建随机字符串和时间戳
        String once_str = generateOnceStr();
        String timestamp = String.valueOf(System.currentTimeMillis());
        //测试数据集
        SortedMap<String, String> params = new TreeMap<>();
        params.put("param1", "a");
        params.put("param2", "b");
        params.put("once_str", once_str);
        params.put("timestamp", timestamp);
        //常规数据加密
        params.put("sign", createSign(params));
        System.out.println(params);
    }
}
调用示例
Map<String, String> map = new HashMap<>();
// 业务参数
map.put("app_id", "xxxx");
map.put("app_secret", "xxxx");
// 公共参数
map.put("once_str", EncryptSign.generateOnceStr());
map.put("timestamp", String.valueOf(System.currentTimeMillis()));
// MD5 加密
map.put("sign", EncryptSign.createSign(map));
// Http 调用
String url = "http://xxx/xx/xx";
String result = HttpClientUtil.httpPost(url, map);
System.out.println(result);

敏感数据加密

涉及敏感数据,采用 AES 进行加解密,注意妥善保管密钥,示例如下

public class EncryptAES {

    private static final String secret    = "@5^22&%c*9^283*@";
    private static final String algorithm = "AES/ECB/PKCS5Padding";

    //加密
    public static String encrypt(String content) {
        try {
            Security.addProvider(new SunJCE());
            Cipher cipher = Cipher.getInstance(algorithm);
            cipher.init(ENCRYPT_MODE, new SecretKeySpec(secret.getBytes(), AES));
            return Base64.getEncoder().encodeToString(cipher.doFinal(content.getBytes("UTF-8")));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    //解密
    public static String decrypt(String encrypt) {
        try {
            Security.addProvider(new SunJCE());
            Cipher cipher = Cipher.getInstance(algorithm);
            cipher.init(DECRYPT_MODE, new SecretKeySpec(secret.getBytes("UTF-8"), AES));
            return new String(cipher.doFinal(Base64.getDecoder().decode(encrypt)));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    public static void main(String[] args) {
        //创建随机字符串和时间戳
        String once_str = EncryptSign.generateOnceStr();
        String timestamp = String.valueOf(System.currentTimeMillis());
        //测试数据集
        SortedMap<String, String> params = new TreeMap<>();
        params.put("param1", "a");
        params.put("param2", "b");
        params.put("once_str", once_str);
        params.put("timestamp", timestamp);

        String content = JSON.toJSONString(params);
        System.out.println("明文: " + content);
        System.out.println("加密: " + encrypt(content));
        System.out.println("解密: " + decrypt(encrypt(content)));
    }
}
调用示例
Map<String, String> map = new HashMap<>();
// 业务参数
map.put("app_id", "xxxx");
map.put("app_secret", "xxxx");
// 公共参数
map.put("once_str", EncryptSign.generateOnceStr());
map.put("timestamp", String.valueOf(System.currentTimeMillis()));
// AES加密参数封装到 sign 字段
Map<String, String> param = new HashMap<>();
param.put("sign", EncryptAES.encrypt(toJSONString(map));
// Http 调用
String url = "http://xxx/xx/xx";
String result = HttpClientUtil.httpPost(url, param);
System.out.println(result);
zhangyu丶
关注
数据对接中的安全性保证及接口设计
数据的启示
09-14 7335
主要分为三个方面: 1. 数据传输加密 目前普遍采用SSL协议中相关算法进行传输层的加密,通常是对称的摘要算法(配合证书通过https进行数据对接),或者使用VPN(IPSEC VPN、SSL VPN、MPLS VPN)进行传输甚至专用电路MSTP。 2. 身份认证 目前普遍采用数字证书技术进行身份认证,数字证书具体又可以分为第三方证书和自签名的证书。认证方法又可以分为单向认证和双
三方接口对接标准化接口文档
07-05
本文档是第三方接口对接的标准化接口文档,旨在规范化接口调用和数据交换的方式。本文档将涵盖接口的基本信息、接口调用方式、数据返回格式、基础数据等多个方面,以确保接口调用的一致性和可靠性。 二、接口方式 ...
前后端接口调用,第三方接口调用如何保证数据的安全
Rootone的博客
06-22 5077
在实际的工作中,对 三种情况汇总为两种校验方式进行论述: 一、公司内部的接口 公司内部的接口,当然是涉及到比较隐秘信息的时候,调用方需要持有一个私钥,调用的时候将传入的参数通过私钥进行的加密,若加密后的内容能够被公钥解密,那么则能够通过。 二、调用三方接口 1.通信使用https 2.请求签名,防止参数被篡改 ...
今天我们来聊聊,如何做好第三方系统对接
最新发布
2401_85358173的博客
07-17 1078
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
在API对接过程中对接注意的安全
wbryze的博客
03-28 325
在API对接过程中,安全措施是至关重要的,它确保数据的完整性、机密性和可用性。
三方对接「心得」与「体会」
【积累】,是一个长期持续的过程。
03-29 293
如果你看到这个话题,并不知道是什么意思,那么祝贺你,安安静静的当个小码农也挺好;
关于第三方Api接口对接安全性的总结
weixin_30321709的博客
01-28 1084
公司搬东莞了没办法年底还要找工作,这周周一面试周二入职,入职第一天,就让对接前海征信的接口,本周上线,压力山大。 而且那边提供的是demo都是java和php版,证书也是.jks格式,瞬间蒙蔽。 经过这几天研究,装了jdk通过工具把jks证书转成.net可识别的pfx格式,各种加密解密,签名认证,每天从8:30到晚上8:30,终于联调成功。 现在总结一下关于安全性方面的知识,参考资料是《C#...
最新代理系统国富通三方支付平台网站源码 全套开源+可对接其他支付接口_源码下载.rar
04-19
2. **可对接其他支付接口**:源码设计时考虑了支付接口的扩展性,开发者可以根据需求接入其他支付渠道,如支付宝、微信支付等,增强了平台的兼容性和灵活性。 3. **直接运营**:这套源码已经具备了运营条件,只需...
三方支付接口自动到账程序 v1.0
11-30
综上所述,"三方支付接口自动到账程序 v1.0"是.NET开发者的有力工具,它简化了支付接口的集成工作,提高了网站的收款效率,同时也保障了交易的安全性,对于构建高效稳定的在线支付系统具有重要意义。
三方系统对接金蝶云苍穹开发指南(精华版).pdf
03-22
4. **注意安全性和权限控制**:在实际开发过程中,要充分考虑安全问题,比如避免硬编码敏感信息、合理管理令牌的有效期等。 5. **异常处理**:在调用接口时可能会遇到各种异常情况,如网络错误、参数错误等,因此...
最新代理系统国富通三方支付平台网站源码全套开源+可对接其他支付接口.txt
03-03
### 最新代理系统国富通三方支付平台网站源码全套开源+可对接其他支付接口 #### 一、项目概述 本项目提供了一套完整的代理系统——国富通三方支付平台的网站源码,并且该系统支持对接其他支付接口。整个项目以开源...
接口对接
qq_44835285的博客
12-13 310
项目pom文件中加入hutool的依赖,maven更新一下下载工具包 Hutool-http参考文档 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.4.5</version> </dependency> 然后直接写一个测试类: package cn.net
项目开发过程中接口的风险和管控
weizhiai12的专栏
03-11 3260
在项目开发的过程中,经常会遇到和其他系统的接口交互的需求,面对这种跨项目团队,跨产品组的接口问题,我们应该如何处理呢?是等到项目需求明朗后,再找相关的系统开发人员来进行洽谈,然后合作开发测试呢?还是在立项后就开始着手准备呢?          从项目风险的角度来看,如果到了需求明朗后才开始找相关人员来进行分析确认,然后开发,测试,恐怕会是一种很理想的状态。因为其他项目团队的资源是否能够恰好在你需
API接口安全
zhu58252601的博客
03-26 1286
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证 ...
三方 API 接口安全加密方法和认证
州仔
07-03 633
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。与第三方系统做系统对接接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
三方接口联调(加解密与签名验签)
thlzjfefe的博客
03-13 2786
工作中经常有和第三方机构联调接口的事情,顾将用到过的做以记录。 在和第三方联调时,主要步骤为:网络、加解密/签名验签、接口数据等,其中接口数据没啥好说的。 在联调前就需要先将两边的网络连通,一般公司的生产环境都加了防火墙,测试环境有的是有防火墙,有的则没有防火墙,这个需要和第三方人员沟通,如果有防火墙的就需要将我们的出口ip或域名发送给第三方做配置,配置了之后网络一般都是通的。 加解密与签名验签: 一般第三方公司都会有加解密或签名验签的,毕竟为了数据安全。一般就是三...
【开发经验】如何快速接入第三方接口
叁滴水 的博客
08-25 3306
快速定位接口对接出现的问题
如何更优雅的对接三方API
Api_k的博客
03-22 980
三方服务会提供API或者SDK,我依稀记得早些年Maven还没那么广泛使用,通常要对接三方服务的时候会去下载第三方服务的SDK开发包,也就是jar包,拷贝到自己的工程中进行开发。API接口,指的是通过HTTP的方式提供服务对接,也就需要对接方发起HTTP请求,解析第三方服务返回的数据;从便利性上讲,以SDK的方式对接三方服务,的确能更加方便地进行开发对接工作。而从目前的趋势看,以RESTful通信的微服务正逐渐成为主流,服务的提供方也不再对外提供SDK开发包,因为这涉及开发量以及包的依赖问题
中国银行8583标准三方存管接口详解
中国银行的三方存管8583接口是一种标准化的通讯规范,用于券商与银行之间的信息交互,以实现证券交易的资金清算和管理。这个接口的核心特点是采用MQMSG8583结构,报文格式包含以下几个关键部分: 1. 报文头部分: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值