网关-开放API接口签名验证方案

最新推荐文章于 2024-07-20 22:49:05 发布
最新推荐文章于 2024-07-20 22:49:05 发布
阅读量210 收藏 2
点赞数 1
文章标签: gateway spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41625866/article/details/133277135
版权

接口安全问题

  • 请求身份是否合法?
  • 请求参数是否被篡改?
  • 请求是否唯一?

AppId&AppSecret

请求身份

为开发者分配AppId(开发者标识,确保唯一)和AppSecret(用于接口加密,确保不易被穷举,生成算法不易被猜测)。

防止篡改

参数签名

  • 按照请求参数名的字母升序排列非空请求参数(包含AppId),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringSignTemp;
  • 对stringSignTemp进行SHA256运算,并将得到的字符串所有字符转换为大写,得到sign值。

请求携带参数AppId和Sign,只有拥有合法的身份AppId和正确的签名Sign才能放行。这样就解决了身份验证和参数篡改问题,即使请求参数被劫持,由于获取不到AppSecret(仅作本地加密使用,不参与网络传输),无法伪造合法的请求。

重放攻击

虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。

timestamp+nonce方案

nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用(记录所有用过的nonce以阻止它们被二次使用)。

然而,对服务器来说永久存储所有接收到的nonce的代价是非常大的。可以使用timestamp来优化nonce的存储。

假设允许客户端和服务端最多能存在15分钟的时间差,同时追踪记录在服务端的nonce集合。当有新的请求进入时,首先检查携带的timestamp是否在15分钟内,如超出时间范围,则拒绝,然后查询携带的nonce,如存在已有集合,则拒绝。否则,记录该nonce,并删除集合内时间戳大于15分钟的nonce(可以使用redis的expire,新增nonce的同时设置它的超时失效时间为15分钟)。

实现

请求接口:https://api.ssf.top/validate?b=13888888888&a=102

  • 生成当前时间戳timestamp=now()和唯一随机字符串nonce=random()
  • 生成签名SHA256(appId+timestamp+nonce+param+appSecret).toUpperCase()
  1. 如果是请求路径携带参数,则参数名升序配列后组装成请求参数串,如https://api.xxf.top/validate?b=13888888888&a=102,这里param为a=13888888888&b=102
  2. 如果是POST请求,并通过body传参,则param取body体的内容
  3. md5编码后统一转换为大写
  • 最终将appId,timestamp,nonce,及签名后的sign值设置到请求头中

网关端:

爱敲代码的小松
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
开放 API 接口签名验证
yonhu123java的博客
09-09 1705
1. 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一 AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 重放攻击 虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。 timestamp+nonce方案 nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一
ali-api-gateway-sign:阿里网关发起签名
03-19
在使用阿里云API时,正确地生成和验证签名至关重要,因为它可以防止未经授权的访问和数据篡改。本文将深入讲解如何在PHP环境中实现阿里API网关签名过程。 首先,了解签名的基本原理。签名过程通常包括以下几个...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1709
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
超详细!完整版!基于spring对外开放接口签名认证方案(拦截器方式)
Coldmood的博客
06-26 5072
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证
开放接口的安全验证方案(AES+RSA)
phantomes的专栏
08-29 4935
原文地址:http://wustrive2008.github.io/2015/08/21/%E5%BC%80%E6%94%BE%E6%8E%A5%E5%8F%A3%E7%9A%84%E5%AE%89%E5%85%A8%E9%AA%8C%E8%AF%81%E6%96%B9%E6%A1%88(AES+RSA)/ 随着密码分析技术的提高,新的数据加密标准AES取代了过时的DES。文章在阐述A
API的认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5144
服务开发干活,API的认证方法总结
互联网API开放平台安全设计(五)---APIGateway网关
weixin_40657079的博客
04-04 2402
什么是网关 随着互联网的快速发展,当前以步入移动互联、物联网时代。用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端、各种浏览器、手机移动端及智能终端等。同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接、共享数据的需求。所以系统需要升级框架满足日新月异需求变化,支持业务发展,并将框架升级为微服务架构。“API网关”核心组件是架构用于满足此些需求。 很多互联网平台...
阿里云API网关服务-API手册.pdf
10-11
API网关使用签名机制来验证用户的身份。在请求的Headers中需要包含签名信息和部分参数,例如X-Ca-Version、X-Ca-Key、X-Ca-Stage、X-Ca-Timestamp等。签名机制使用AppKey和AppSecret来计算签名字符串,用于身份验证...
阿里云API网关服务-API手册-D.docx
10-11
加密签名API网关的身份验证机制。用户需要使用AppKey和AppSecret计算加密签名,并将其包含在请求Headers中。加密签名的计算传递方式请查看文档--入口及协议。 五、应用(APP)创建 用户需要创建应用(APP)作为...
阿里云API网关服务-API快速入门-D.docx
10-11
本文将快速引导您通过API网关调用由其他API服务商开放API服务。为了调用API,需要三个基础条件: API、应用APP和API与APP的权限关系。以下是API快速入门的详细知识点: 1. 获取API的定义文档 在获取API的定义...
阿里云API网关服务-API快速入门.pdf
10-11
总的来说,阿里云API网关服务提供了一个完整的解决方案,涵盖了从获取API定义、创建应用、建立授权到实际调用API的全过程,确保了安全、高效的API交互。对于开发者而言,理解并掌握这一流程至关重要,可以有效提升...
数字签名(2) 协同签名
I do more ,you do less
06-11 5125
阿里云API网关(17)签名算法
weixin_33724059的博客
07-26 1214
网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、前端签名    文档...
Spring cloud网关常用签名验证方法
zhuwei_clark的博客
09-11 8066
 一般在做接口请求的时候为了保证参数的一致性和防止有人利用正确的参数做大量的重复请求,一般都会做签名验证。 在spring cloud的项目一般是在网关,利用过滤器的方式进行验证。 public class SignFilter extends ZuulFilter{ @Override public Object run() throws ZuulException { // T...
Spring全家桶系列之核心篇 | Spring Cloud】 - 第七章 掌握Gateway核心技术,实现高效路由与转发
架构筑梦的Cherry Yang的博客
07-17 434
Spring Cloud Gateway 是一个基于 Spring Boot 的非阻塞 API 网关服务,它提供了动态路由、请求断言、过滤器等功能。
源码分析SpringCloud Gateway如何加载断言(predicates)与过滤器(filters)
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
07-18 960
因为我们之前的类加载还没有看完,我们最开始的时候就找到了两个@bean 的自动加载,那这两个类实例化的时候都做了哪些工作,我们还没有细看;主要就是把当前类包含工厂名字的部分去掉了,然后用剩下的字符串当key值,所以我们可以使用工厂名字做后坠,也可以不用,但是剩下的字符则是你要写进配置的关键字,不过博主基本都是按照系统自带属性一样,用的是工厂接口的名字做的后缀。,其他的博主就不多说了,大家多去官网看看,只有官方的才是最正确的,回归主题,我们的过滤器与断言如何加载进来的,并且是如何进行对请求进行过滤的。
modbus slave 设备通过 网关thingsboard-gateway 将数据上传到thingsboard云平台
ADC0809608的专栏
07-17 892
thingsboard thingsboard-gateway modbus slave 物联网 云平台
Fabric:Fabric-Gateway-Go的使用方法
最新发布
读万卷书 行万里路
07-20 825
是Hyperledger Fabric v2.4及更高版本中引入的一项服务,它位于Fabric Peer节点中,通过一个简单的gRPC接口服务于客户端应用。将交易提交逻辑从客户端应用程序中剥离出来,可以减轻开发者的负担,并优化网络流量和安全性。支持的语言有:JavaScript/TypeScript、Java、Go及Python等。这里仅以为例来说明。需要说明一点,与Fabric-SDK相比,不能部署链码,所以在使用开发区块链应用之前,需要先自行完成通道及链码的部署。
Gateway源码分析:路由Route、断言Predicate、Filter
qq_44027353的博客
07-20 595
又是一些异步调用,但我们从方法名就能看出来,这里根据我们yml配置文件中路由定义的断言去调用对应的断言对象。方法,在该方法中会找一个与WebHandler匹配的HandlerAdapter来适配WebHandler对象,最终去调用WebHandler的。方法中,先获取路由的局部Filter,在创建一个集合存放全局Filter,在把局部Filter和全局Filter放在一起。方法的作用就是就是遍历Gateway所有的HandlerMapper,我们这里肯定最终是使用的。
java api网关接口签名
04-07
API网关接口签名可以保证数据传输的安全性和完整性,同时也可以防止恶意攻击。在Java中,可以使用类似于MD5或SHA1的加密算法来对数据进行加密,然后将加密后的数据添加到HTTP请求头中。这样,在接收端可以通过验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱敲代码的小松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值