API安全机制

已于 2024-05-09 21:02:36 修改
阅读量738 收藏 9
点赞数 19
分类专栏: 安全 文章标签: 安全
于 2024-05-09 21:00:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ronshi/article/details/138616801
版权

API安全机制包括两部分:数字签名、敏感信息加密。

一、数字签名

服务端使用客户端的消息签名验证客户端的身份。如果一个请求不包含签名或者签名验证失败,服务端将返回身份验证错误。它背后的技术是:数字签名技术。

1、待签参数准备

待签参数包含以下字段

参数说明
UrlUrl 指 Path + Query + Body 中 Form 参数,域名无需参与签名。组织方法:对 Query+Form 参数按照字典对 Key 进行排序后按照如下方法拼接,如果 Query 或 Form 参数为空,则 Url = Path,不需要添加 ?,如果某个参数的 Value 为空只保留 Key 参与签名,等号不需要再加入签名。Query参数的Value如果存在中文,则需要对Value值进行UrlEncode编码,否则会出现中文乱码或签名报错等情况。
Content-MD5指 Body 的 MD5 值,只有当 Body 非 Form 表单时才计算 MD5。把MD5摘要后的二进制数组使用Base64进行编码
Timestamp获取发起请求时的系统当前时间戳,即格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数,作为请求时间戳。例如1554208460

2、待签参数拼接

String stringToSign= 
Url + "\n" + 
Content-MD5 + "\n" 
Timestamp

注意:Content-MD5如果为空也需要参与拼接 。

3、计算签名

使用应用密钥(APP KEY)对待签名字符串采用HmacSHA256算法进行签名运算,然后使用Base64算法进行编码,从而得到签名字符串。

Mac hmacSha256 = Mac.getInstance("HmacSHA256");
byte[] appSecretBytes = appSecret.getBytes(Charset.forName("UTF-8"));
hmacSha256.init(new SecretKeySpec(appSecretBytes, 0, appSecretBytes.length, "HmacSHA256"));
byte[] md5Result = hmacSha256.doFinal(stringToSign.getBytes(Charset.forName("UTF-8")));
String signature = Base64.encodeBase64String(md5Result);

二、敏感信息加密

客户端如果有敏感字段需要上送,则需要对字段进行加密。服务端收到后,需要对敏感字段解密。

下面使用AES算法对敏感信息加解密。

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;


public class MyTest {
    
    // AES算法
    private static final String ALGORITHM = "AES";
    
    // 使用CBC模式、PKCS5Padding填充
    private static final String TRANSFORMATION = "AES/CBC/PKCS5PADDING";
    
    
    /**
     * AES加密
     *
     * @param secretKey 密钥
     * @param ivKey     偏移量
     * @param data      明文数据
     * @return 加密后的数据
     */
    public static String encrypt(String secretKey, String ivKey, String data) {
        try {
            SecretKeySpec secretKeySpec = new SecretKeySpec(secretKey.getBytes(StandardCharsets.UTF_8), ALGORITHM);
            IvParameterSpec ivParameterSpec = new IvParameterSpec(ivKey.getBytes(StandardCharsets.UTF_8));
            Cipher cipher = Cipher.getInstance(TRANSFORMATION);
            cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec, ivParameterSpec);
            byte[] encrypted = cipher.doFinal(data.getBytes(StandardCharsets.UTF_8));
            return Base64.getEncoder().encodeToString(encrypted);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
    
    
    /**
     * AES解密
     *
     * @param secretKey 密钥
     * @param ivKey     偏移量
     * @param data      加密后的数据
     * @return 明文数据
     */
    public static String decrypt(String secretKey, String ivKey, String data) {
        try {
            SecretKeySpec secretKeySpec = new SecretKeySpec(secretKey.getBytes(StandardCharsets.UTF_8), ALGORITHM);
            IvParameterSpec ivParameterSpec = new IvParameterSpec(ivKey.getBytes(StandardCharsets.UTF_8));
            Cipher cipher = Cipher.getInstance(TRANSFORMATION);
            cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, ivParameterSpec);
            byte[] decrypted = cipher.doFinal(Base64.getDecoder().decode(data.getBytes(StandardCharsets.UTF_8)));
            return new String(decrypted);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
    
    
    public static void main(String[] args) throws Exception {
        String secretKey = "1234567890123456";
        String ivKey = "1234567890123456";
        String data = "你好,世界";
        String encryptData = encrypt(secretKey, ivKey, data);
        System.out.println("加密后的数据:" + encryptData);
        String decryptData = decrypt(secretKey, ivKey, encryptData);
        System.out.println("解密后的数据:" + decryptData);
    }
    
}

ronshi
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
api 二次 开发 禅道_api机制简介 - zentaoPHP二次开发 - 易企天创开发者中心
weixin_39627481的博客
12-22 619
一、API机制介绍:前面章节讲述的扩展机制是需要直接开发PHP或者html, css, js等代码。zentaoPHP还提供了API机制,方便大家来和其他的系统进行集成。API机制都是基于http协议的。返回的数据以json格式存储。zentaoPHP架共实现了两种API机制。一种为直接的页面调用,一种通过超级model调用接口,直接调用model层的方法,下面我们一一来看下。二、页面直接调用当你...
java api安全机制
yushan125的博客
03-23 985
java api安全机制
API接口安全问题浅析
Fly_鹏程万里
02-22 1301
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
API接口数据流转常见安全机制
Jernnifer_mao的博客
10-01 268
如今API成了企业应用程序的关键,它使应用程序的特性更加丰富和动态,随着数字化转型,数据在不断打通,API成为数据重要的流通链路。其二,使用令牌来标识每个API,控制对数据和服务的访问,没有授权令牌的开发人员不能公开新的APIAPI安全市场处于相对早期阶段,国内专业从事API安全的厂商也不多,从市场角度来看,主要有两类:API网关方案和基于数据流转分析的API安全方案。API接口作为数据共享开放的基础,随着数字化进程的推进,越来越多的企业和数据中心将服务封装成数据接口进行开放,供第三方使用。
如何理解APIAPI 是如何工作的
热门推荐
cumtdeyurenjie的博客
05-06 24万+
阅读本文大概需要 5~6 分钟 大家可能最近经常听到 API 这个概念,那什么是API,它又有什么特点和好处呢? wiki 百科镇楼 …[APIs are] a set of subroutine definitions, protocols, and tools for building application software. In general terms, it’s...
介绍几种常见数据和API安全保护机制
云计算女士
01-08 1505
数据时代的来临,推动着社会各领域转型升级的加速,但其在加速发展过程中的数据泄露问题也日益凸显,给企业及个人信息的安全带来极大威胁。2018年,据报道有6500起数据泄露事件,暴露了数十亿条潜在的数据滥用记录。在当今的数字互联的世界里,安全几乎总是企业的首要任务,以确保他们的记录是安全的。对于组织来说,实现API安全最佳实践以使它们的集成在系统之间传输的数据处于严格的锁定状态是非常重要的。 什么是...
api 安全机制
gjcandxyx的博客
07-15 253
API 安全机制 接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制:用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timest
api 安全
北漂猿
01-31 861
摘自: https://www.cnblogs.com/xingxia/p/api_secrute.html APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html...开发工具是vs2015
API接口安全策略文档
06-29
API接口安全策略详解》 API接口作为现代应用程序交互的核心,其安全性至关重要。本文将深入探讨如何防范四种主要的攻击类型:伪装攻击、篡改攻击、重放攻击以及数据信息泄漏,并提出相应的安全策略。 首先,针对...
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
windows安全机制API大集合模块源码
05-28
内有:。windows 文件/对象 安全控制系列函数。windows 用户/用户组 管理系列函数。windows 安全访问令牌(token)相关函数。windows token 特权操作相关函数。windows 本地安全策略 相关...Tags:windows安全机制API
ESAPI安全编码工具源码包
12-30
**ESAPI安全编码工具源码包详解** ESAPI(Enterprise Security API)是由OWASP(Open Web Application Security Project)组织开发的一款强大的安全工具包,旨在帮助Java开发者实施安全编码,防止常见的Web应用程序...
API接口安全性设计
Pagegle的博客
12-05 963
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间
系统API--机制剖析
锄禾日当午
11-20 927
封装与运行方式 1、系统API都是是由汇编中断而成; 2、运行于系统中的dll提供 3、运行于系统中的dll ,dll中采用中断方式(大部份系统采用此方式) windows系统API GDI便是中间一个,运行于系统中,与之相同的还有DirectX
WebApi路由机制详解——看完不会用你打我
xiaouncle的博客
11-12 4万+
随着前后端分离的大热,WebApi在项目中的作用也是越来越重要,由于公司的原因我之前一直没有机会参与前后端分离的项目,但WebApi还是要学的呀,因为这东西确实很有用,可单独部署、与前端和App交互都很方便,既然有良好的发展趋势,我们当然应该顺势而为——搞懂WebApi! 从MVC到WebApi,路由机制一直都在其中扮演着重要的角色。 它可以很简单:如果你只需要会用一些简单的路由,如/Home...
AI安全-文生图
深度安全实验室
08-15 483
AI安全-文生图
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 498
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
探索802.1X:构筑安全网络的认证之盾
最新发布
XINERTEL的博客
08-21 882
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ronshi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值