Api签名认证的实现

最新推荐文章于 2024-07-14 14:59:27 发布
最新推荐文章于 2024-07-14 14:59:27 发布
阅读量272 收藏 6
点赞数 6
文章标签: java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64013657/article/details/138861163
版权

什么是api签名认证

API 签名认证是一种常见的安全机制,确保请求是由授权的客户端发出的,并且在传输过程中没有被篡改。签名认证通常使用 HMAC(Hash-based Message Authentication Code)算法,并且包括以下步骤:

生成签名:客户端根据预定义的规则生成签名,通常包括请求参数、时间戳、API 密钥等。
发送请求:客户端将签名和其他必要信息添加到请求头或请求参数中,并发送请求。
验证签名:服务器接收到请求后,根据相同的规则重新生成签名,并与客户端发送的签名进行比较。如果匹配,则请求合法。

怎么使用

步骤 1:生成签名

生成签名的一般步骤如下:

  1. 确定需要签名的参数。
  2. 将参数按照约定的顺序拼接成一个字符串。
  3. 使用 HMAC 算法和预共享的密钥生成签名。

假设我们有以下参数需要签名:

  • api_key
  • timestamp
  • nonce
  • 预共享的密钥是 secret_key。
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class ApiSigner {
    public static String generateSignature(String apiKey, String timestamp, String nonce, String secretKey) throws Exception {
        String message = apiKey + timestamp + nonce;
        Mac sha256Hmac = Mac.getInstance("HmacSHA256");
        SecretKeySpec secretKeySpec = new SecretKeySpec(secretKey.getBytes(), "HmacSHA256");
        sha256Hmac.init(secretKeySpec);
        byte[] signedBytes = sha256Hmac.doFinal(message.getBytes());
        return Base64.getEncoder().encodeToString(signedBytes);
    }
}

步骤 2:发送请求

将生成的签名和其他必要信息添加到请求头中,并发送请求。

import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.http.ResponseEntity;
import org.springframework.web.client.RestTemplate;

public class ApiClient {
    private static final String API_URL = "https://api.example.com/resource";
    private static final String API_KEY = "your_api_key";
    private static final String SECRET_KEY = "your_secret_key";
    
    public static void main(String[] args) throws Exception {
        String timestamp = String.valueOf(System.currentTimeMillis());
        String nonce = "random_nonce"; // 生成随机字符串
        
        String signature = ApiSigner.generateSignature(API_KEY, timestamp, nonce, SECRET_KEY);

        HttpHeaders headers = new HttpHeaders();
        headers.set("API-Key", API_KEY);
        headers.set("Timestamp", timestamp);
        headers.set("Nonce", nonce);
        headers.set("Signature", signature);

        HttpEntity<String> entity = new HttpEntity<>(headers);
        RestTemplate restTemplate = new RestTemplate();
        
        ResponseEntity<String> response = restTemplate.exchange(API_URL, HttpMethod.GET, entity, String.class);
        System.out.println(response.getBody());
    }
}

步骤 3:验证签名

服务器端在接收到请求后,根据相同的规则重新生成签名,并与客户端发送的签名进行比较。

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class ApiVerifier {
    private static final String SECRET_KEY = "your_secret_key";

    public static boolean verifySignature(String apiKey, String timestamp, String nonce, String clientSignature) throws Exception {
        String message = apiKey + timestamp + nonce;
        Mac sha256Hmac = Mac.getInstance("HmacSHA256");
        SecretKeySpec secretKeySpec = new SecretKeySpec(SECRET_KEY.getBytes(), "HmacSHA256");
        sha256Hmac.init(secretKeySpec);
        byte[] signedBytes = sha256Hmac.doFinal(message.getBytes());
        String serverSignature = Base64.getEncoder().encodeToString(signedBytes);
        return serverSignature.equals(clientSignature);
    }
}

Spring Boot 控制器示例

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class ApiController {

    @GetMapping("/resource")
    public String getResource(@RequestHeader("API-Key") String apiKey,
                              @RequestHeader("Timestamp") String timestamp,
                              @RequestHeader("Nonce") String nonce,
                              @RequestHeader("Signature") String signature) throws Exception {

        if (!ApiVerifier.verifySignature(apiKey, timestamp, nonce, signature)) {
            return "Invalid signature";
        }

        // 处理业务逻辑
        return "Resource content";
    }
}
爽鏚锹
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
开放 API 接口签名验证
yonhu123java的博客
09-09 1695
1. 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一 AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 重放攻击 虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。 timestamp+nonce方案 nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一
WebApi Token+ 数字签名认证源码
04-10
在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让我们理解什么是Token。在Web开发中,Token通常指的是JSON Web Tokens (JWT) 或者Access Tokens。...
API签名认证的说明及实现
trinityleo5的博客
08-30 1324
API签名认证的说明及实现
对外开放接口的签名认证方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
11-17 305
1、场景由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。2、接口防御措施请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改3、签名认证逻辑3.1、服务端生成一对 accessKey/secretKey密钥对,将 accessKey公开给客户端,将 secretKey 保密。3.2、客户端使用 secretKey和一些请求参...
API 签名认证
m0_74059961的博客
02-01 827
介绍了什么是 API 签名认证、为什么需要 API 签名认证以及如何实现 API 签名认证签名认证普遍需要六个参数,加密算法中的对称加密、非对称加密和单向加密并举出案例进行说明辅助理解
WebAPI公开接口请求签名验证
woaimx_1314的博客
07-03 885
现在的系统后端开发的时候,会公开很多API接口对于要登录认证后才能访问的接口,这样的请求验证就由身份认证模块完成但是也有些接口是对外公开的,没有身份认证的接口我们怎么保证接口的请求是合法的,有效的.这样我们一般就是对请求的合法性做签名验证.
JAVA 使用摘要签名认证方式调用阿里网关API
xnxqwzy的博客
02-20 1091
场景:老板突然一个需求发到我,需要将分销商的扫码内容解码获取到真实的商品条码(由于分销商使用了阿里的数据转换API服务,所以要解码)1.使用简单认证(AppCode)方式调用API2.使用SDK调用API3.使用摘要签名认证方式调用API(本篇主要讲这个方式)2.1.从下面7个字段构成整个签名串,字段之间使用\n间隔换行,如果Headers为空,则不需要加\n,其他字段如果传空则必须要保留\n(关键点)HTTPMethod:HTTP的方法,全部大写,比如POST。
聊聊 API 签名方式
m0_59598029的博客
02-07 264
现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。非法使用 API 服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。本文主要介绍了当前主流 API 签名方式,可以根据项目场景去挑选组合合适的方案。
API签名认证
incredible1024的博客
09-03 774
本文介绍 API 签名认证相关知识,包括:概念,作用,实现思路,完整逻辑。帮助你轻松掌握 API 签名认证相关知识,能够设计自己的 API 签名认证算法
API签名验证
08-01
在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
基于Laravel 8.x的API接口签名认证系统.7z
05-06
带领同学们认识Laravel用户认证的两大核心要素,守卫者与数据提供者,并从源码层面分析用户认证中涉及到的核心概念,通过基于接口签名认证逻辑,带领同学们实现自定义守卫者以及签名认证器,实现基于签名认证的...
PHP开发API接口签名生成及验证操作示例
10-15
API接口开发中,签名生成和验证是确保数据安全性和防止篡改的重要环节。本文将深入探讨PHP中如何实现这一功能,结合实例详细解析签名生成及验证的操作步骤。 首先,API接口签名的主要目的是为了保证请求的完整性...
配置Java开发环境
Broken_x的博客
07-10 1525
Java开发环境配置
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 496
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Spring Security 授权
最新发布
persistence_PSH的博客
07-14 675
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 607
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 274
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由: ```csharp public static void Register(HttpConfiguration config) { // 配置路由 config.MapHttpAttributeRoutes(); config.Routes.MapHttpRoute( name: "DefaultApi", routeTemplate: "api/{controller}/{id}", defaults: new { id = RouteParameter.Optional } ); // 配置 JWT 认证 ConfigureJwtAuth(config); } ``` 然后,我们需要在 `Web.config` 文件中配置 JWT 令牌的密钥和有效期: ```xml <appSettings> <add key="jwtSecret" value="my_secret_key" /> <add key="jwtExpireDays" value="7" /> </appSettings> ``` 接下来,我们需要创建一个 `JwtAuthManager` 类来管理 JWT 认证: ```csharp using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; public class JwtAuthManager : IJwtAuthManager { private readonly string _jwtSecret; private readonly double _jwtExpireDays; public JwtAuthManager(string jwtSecret, double jwtExpireDays) { _jwtSecret = jwtSecret; _jwtExpireDays = jwtExpireDays; } public string GenerateToken(IEnumerable<Claim> claims) { var key = Encoding.ASCII.GetBytes(_jwtSecret); var jwtToken = new JwtSecurityToken( claims: claims, expires: DateTime.Now.AddDays(_jwtExpireDays), signingCredentials: new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) ); var token = new JwtSecurityTokenHandler().WriteToken(jwtToken); return token; } } ``` 然后,我们需要创建一个 `JwtAuthAttribute` 特性,用于在控制器或操作方法上应用 JWT 认证: ```csharp [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] public class JwtAuthAttribute : AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) { try { var token = actionContext.Request.Headers.Authorization.Parameter; var jwtAuthManager = actionContext.ControllerContext.Configuration .DependencyResolver.GetService(typeof(IJwtAuthManager)) as IJwtAuthManager; var principal = jwtAuthManager.ValidateToken(token); Thread.CurrentPrincipal = principal; HttpContext.Current.User = principal; } catch (Exception) { actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); return; } base.OnAuthorization(actionContext); } } ``` 最后,我们需要在 `ConfigureJwtAuth` 方法中注册依赖项并配置 JWT 认证: ```csharp private static void ConfigureJwtAuth(HttpConfiguration config) { var jwtSecret = ConfigurationManager.AppSettings["jwtSecret"]; var jwtExpireDays = double.Parse(ConfigurationManager.AppSettings["jwtExpireDays"]); var container = new UnityContainer(); container.RegisterType<IJwtAuthManager, JwtAuthManager>( new InjectionConstructor(jwtSecret, jwtExpireDays)); config.DependencyResolver = new UnityResolver(container); config.Filters.Add(new JwtAuthAttribute()); } ``` 现在,我们可以在控制器或操作方法上应用 `JwtAuth` 特性来启用 JWT 认证: ```csharp [RoutePrefix("api/products")] public class ProductsController : ApiController { [HttpGet] [Route("")] [JwtAuth] public IHttpActionResult Get() { // ... } [HttpGet] [Route("{id}")] [JwtAuth] public IHttpActionResult Get(int id) { // ... } [HttpPost] [Route("")] [JwtAuth] public IHttpActionResult Post([FromBody] Product product) { // ... } // ... } ``` 这样,我们就成功地基于 JWT 实现了 Token 签名认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值