安全架构-api接口签名防止数据篡改

最新推荐文章于 2024-04-20 13:58:52 发布
最新推荐文章于 2024-04-20 13:58:52 发布
阅读量9.2k 收藏 12
点赞数
分类专栏: 安全架构 文章标签: api安全 安全架构 架构师 防篡改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45937199/article/details/111472931
版权

安全架构-api接口签名防止数据篡改

本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。

文章目录

前言

api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到api接口调用。最常见的有微信支付宝支付接口对接,百度API接口对接,各种第三方业务接口对接,等等,都会涉及到API接口通讯安全处理。作为一个架构师,必须熟悉掌握此部分安全设计,本文介绍接口通讯安全中的防止数据篡改问题-接口签名。

一、什么是接口签名?

接口签名是在进行API接口调用的时候,接口调用方按照接口提供方要求的算法生成签名字段,并传递签名字段,接口提供方接受到签名字段后,按照相同的算法对数据进行签名计算,比较二者的值,相同则签名验证通过,可以进行后续业务处理。

二、接口签名作用

处于开放环境的数据传输都是可以被截取,甚至被篡改的,通过finder等工具,可以抓取网络请求的数据,如果不做签名,则可以任意修改请求数据,是业务逻辑处理完全混乱。
1、签名算法保障数据不可篡改,请求的数据参入了签名,数值改变签名也会改变。需完全知道签名算法的调用方可以生成改变后的签名,网络截取数据,因不知道签名算法和签名秘钥,生成不成功新的签名,因此调用失败。
2、因签名算法互联网做法基本相同,因此很容易破解,因此在签名秘钥上必须注重传输安全。当前常用做法一般是线下传输签名秘钥,双方共同保存好签名秘钥。(也有在线获取动态秘钥用于签名的方案,后续文章介绍)。因此能正确签名验证成功,也说明调用方具有该接口的调用权限,是一个基本的权限控制方法。

三、常用做法

1.签名算法

1、将所有业务请求参数按字母先后顺序排序,不包括签名字段本身;
2、参数名称和参数值按键值对链接成一个字符串A;key1=value1&key2=value2&k3=v3
3、在字符串A的末尾直接拼上appsecret组成一个新字符串B:key1=value1&key2=value2&k3=v3appsecret
4、对字符串B进行md5得到签名sign;
假设请求的参数为:fo=1,bo=23,ko=33,排序后为bo=23&fo=1&ko=33,参数名和参数值链接后为bo=23&fo=1&ko=33,末尾加上appsecret后md5:
md5(bo=23&fo=1&ko=33appsecret);
5、接口调用时,传递参数sign=sign;

**http://api/method?fo=1&bo=23&ko=33&sign=BCC7C71CF93F9CDBDB88671B701D8A35**

2.签名算法变种

最低0.47元/天 解锁文章
ctotalk
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口签名-一次API接口的设计开发-
qq_34331912的博客
03-30 565
接口签名,是通过一些签名规则对参数进行签名,然后把签名的信息放入请求头部(或做为参数传递),服务端收到客户端请求之后,同样的按照已定的规则生产对应的签名串与客户端的签名信息进行对比,如果一致,就进入业务处理流程;如果不通过,就提示签名验证失败。
simplezhihu-api:简易知乎API接口
02-08
在当今互联网时代,API(Application Programming Interface)接口已经成为开发者之间数据共享和交互的重要工具。本项目"simplezhihu-api"是针对知乎平台的一个简易API实现,它允许开发者通过编程方式获取和操作知乎...
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1469
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1435
接口加密知识科普
接口测试必备技能 - 加密和签名
最新发布
04-20 800
1、什么是加密以及解密? 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1690
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
吐血整理,接口测试(加密/解密/签名)实例,看这一篇就够了
m0_70102063的博客
03-17 1210
什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。1、加密方式详解1)加对称密技术DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
API接口签名验证
qq_25046827的博客
03-01 4550
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
springboot实现接口签名
06-06
在IT行业中,接口签名是一种确保数据安全传输的重要机制,特别是在微服务架构中,如Spring Boot应用与其他系统进行数据交互时。接口签名的主要目的是验证请求的来源合法性,防止数据篡改,以及确保通信双方的数据...
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
secure-message-api
03-17
1. **HTTPS和TLS/SSL**:为了确保消息的安全传输,API很可能会使用HTTPS协议,它基于TLS/SSL(Transport Layer Security / Secure Sockets Layer)协议,提供端到端的数据加密,防止数据在传输过程中被窃取或篡改。...
jjwt-api-plugin
04-07
3. **安全通信**:由于JWT是数字签名的,可以防止篡改,确保在Jenkins与其他系统交互时数据安全性。 4. **自动化流程**:在持续集成过程中,可能需要验证来自不同系统的签名令牌,以确认请求的合法性。此插件可以...
接口签名的用处
hrbsfdxzhq01的博客
03-01 1195
签名的用处和思路:在接口中基本上都会用到签名机制,其实都是为了防止发送的信息被串改,发送方通过将一些字段要素按一定的规则排序后,在转化成json字符串,通过MD5加密机制发送,当接收方接受到请求后需要验证该信息是否被篡改过,也需要将对应的字段按照同样的规则生成验签sign,然后在于接收到的进行比对,可以发现信息是否被串改过。 <?php /** * Created by PhpSt...
java接口签名(Signature)实现方案续
aipiannian6725的博客
12-26 1154
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对...
接口签名的作用
tjd5214的博客
03-02 518
请求时会增加【签名:sign】这样的一个参数或者请求头,其生成规则按照参数排序并加密。后端在接收到请求后,用相同的规则排序并加密,对比与传入的sign是否相同。为了防止接口参数被篡改
Android接口签名规则,签名规则
weixin_42172572的博客
05-31 253
签名规则API 调用签名规则¶本文档中所有请求融云服务端 API 接口的请求均使用此规则校验,以下不再重复说明。每次请求 API 接口时,均需要提供 4 个 HTTP Request Header,具体如下:名称类型说明RC-App-KeyString开发者平台分配的 App Key。RC-NonceString随机数,无长度限制。RC-TimestampString时间戳,从 1970 年 1 ...
安卓签名机制浅析
WHHGARSKY的博客
04-15 790
提纲 初步了解:是什么,为什么需要,有什么好处,怎么加密和验证,怎么使用,要点补充 签名方案:v1,v2,v3签名及校验流程,版本缺陷 初步了解Android签名机制 Android应用程序的签名(是什么) - 在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,要求每一个安装进系统的应用程序都是经过数字证书签名的,此数字证书用于标识应用程序的...
支付宝签名与验签,return_url和通知页notify_url
cswhl的博客
04-10 8743
1 支付宝签名与验签 签名与验签的作用 首先了解下使用RSA签名与验签的作用是什么? 对数据进行签名后,可以保证数据完整性,机密性和发送方角色的不可抵赖性,可以有效防止请求信息信息被篡改。 以商户服务端(A)、支付宝服务端(B)、发送的消息内容(C)、加密后的签名(D)举例如下: • 签名:商户A将需要发给支付宝B的消息内容C利用app私钥进行加密得到签名D。然后A将C和D一起发给B。 • 验签:支付宝B接收到内容C和签名D后,使用app公钥进行验证,验证签名D解密后的内容是否与内容C相同,相同返回tr
后端接口签名的一点思考
一个真实、有温度的无名小卒
08-29 2368
好久没写博客了,打起字来都不知道怎么总结文字了。 首先,明白一点,接口只要暴露在公网就没有了绝对的安全,我们使用https也好,jwt也好还是签名也罢,都是将我们接口协议被攻击的成本大大增加,使得黑客或者别有用心之人去衡量攻击我们的服务收益无限接近于0,但是难度无限增大。 既然是一点思考,那么必然产生问题? 1.为什么去做签名,或者说他的好处是什么? 2.签名怎么做? 3.签名和https的区别?...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值