常用API接口签名验证参考

最新推荐文章于 2024-04-29 17:16:20 发布
最新推荐文章于 2024-04-29 17:16:20 发布
阅读量1.9k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78097571
版权

项目中常用的API接口签名验证方法:

1. 给app分配对应的key、secret
2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:
  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2  然后将参数名和参数值进行拼接得到参数字符串:arong1crong3mrong2;
  b. 将secret加在参数字符串的头部后进行MD5加密 ,加密后的字符串需大写。即得到签名Sign;

大致处理过程

// 用户验证、判断key是否存在,同时查询出对应的secret用于验证;

....

// 验证签名,根据算法将参数进行签名得到sign与参数中的sign进行对比;

....

// 插叙数据获取列表

如下图

app调用:http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&参数1=value1&参数2=value2.......
注:secret 仅作加密使用, 为了保证数据安全请不要在请求参数中使用。

请求的唯一性: 为了防止别人重复使用请求参数问题,我们需要保证请求的唯一性,就是对应请求只能使用一次,这样就算别人拿走了请求的完整链接也是无效的。
唯一性的实现:在如上的请求参数中,我们加入时间戳 :timestamp(yyyyMMddHHmmss),同样,时间戳作为请求参数之一,也加入sign算法中进行加密。

下面提供2个签名验证的方法:时间戳注意加入及验证的处理

1、OpenId签名及验证



2、请求参数签名及验证



一般企业内部应用相互之间接口调用是不需要进行参数的签名验证的,大部分情况下是提供给第三方时才会需要。如果您有更好的接口签名验证方法,欢迎分享

原文地址:http://www.cnblogs.com/hnsongbiao/p/5478645.html

.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注

dotNET跨平台
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
[Java参考文档].JDK_API 1.6
09-21
javax.imageio.spi 包含用于 reader、writer、transcoder 和流的插件接口以及一个运行时注册表的 Java Image I/O API 包。 javax.imageio.stream Java Image I/O API 的一个包,用来处理从文件和流中产生的低级别 I/...
简单API接口签名验证
weixin_33955681的博客
08-09 592
为什么80%的码农都做不了架构师?>>> ...
接口测试必备技能—加密和签名
最新发布
HUA1211的博客
04-29 552
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
webApi签名验证
weixin_30247159的博客
06-06 308
还是一如既往先上结构图如下: 上一讲说明了redis,也谢谢心态的建议。这里经过改进后的redis的地址 当然这里是加密了的,具体实现如下图: 这里提供的解密。 先把加密解密的帮助类放上来。 using System; using System.Collections.Generic; using System.IO; using System.Linq; usi...
API 接口设计之 token、timestamp、sign 具体架构与实现
程序员小乐
09-12 2953
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文The road ahead is still a long way, ...
API开发之接口安全(二)-----sign校验
weixin_30731287的博客
08-16 300
上一章 我们说了 sign的生成 那么 我们如何确定这个sign的准确性呢 下来 我们说说 校验sign的那些事 在拿到header里面的内容之后 我们首先需要对其内容的基本参数做一个校验 我们补充下Common类的代码 <?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8...
go-gin-api:基于Gin进行API设计的框架,封装了常用功能,使用简单,致力于进行快速的业务开发。例如,支持cors跨域,jwt签名验证,收集,紧急异常捕获,trace跟踪,prometheus监控指标,swagger文档生成,viper配置文件解析,gorm数据库组件,graphql查询语言,errno统一定义错误代码,gRPC的使用等等
02-03
go-gin-api是基于进行异步设计的API框架,封装了常用功能,使用简单,致力于进行快速的业务开发,同时增加了更多限制,约束项目组开发成员,规避混乱无序及自由随意的编码。 供参考学习,线上使用请谨慎! 集成组件...
Openssl API
11-01
开发者可以通过这些接口来创建自签名证书、验证证书链、提取证书中的公钥等。 在实际应用中,例如HTTPS协议的实现,就需要用到OpenSSL提供的这些API。服务器和客户端通过交换证书来建立安全的连接,保证数据传输的...
易语言防APIHOOK源码
06-03
4. **代码签名验证**:检查API调用的合法性,防止被恶意替换的API函数调用。 5. **自定义钩子检测**:程序自身检测是否已被安装了钩子,一旦发现异常,立即终止程序或进行恢复。 6. **多层防御**:结合多种防Hook...
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
百度云直播LSS的api接口连接的C#例子(干货)
01-08
文档里面的CorrectBaiDuYunLss方法为连接百度云直播LSS接口的主要方法(GET方法),传入帐号的AK、SK即可,其他参数修改注释有说明,官网文档都没有的东西!是本人跟百度云客服沟通后的一起修改出来的,通过测试没问题,方便c#的lssapi接入。
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
webapi接口安全验证
weixin_30847271的博客
07-26 184
其实跟大多数网上的方法一样,在前端请求头里加token,后台通过拦截器处理token数据,然后两边对比,如果一样就能通过,不一样就返回无权限。 前端测试代码如下: @{ ViewBag.Title = "TestApiAouth"; } <h2>测试</h2> <form id="form"> <div> ...
API开发之接口安全(四)----sign的唯一性
weixin_30707875的博客
08-16 290
r如何解决sign的唯一性呢,在以往的经验中,我们都是通过标识来确定 如果有 那就用过如果没有那就是没用过 当然我们还需要将sign存储起来 这样我们才能更好的去判断他是否用过 存储的话 我们有几种方式 可以存在文件中 也可以存在数据库中 更甚至 我们可以存在redis中 这里我存在文件中 也就是 Cache 中 我们需要在校验通过的时候 将 sign 写入到Cache 中 那么...
API 接口的安全设计验证,我是这么做的!
这个时代,作为程序员可能要学习小程序
05-17 746
概述 与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性img1.用户成功...
浅谈API开发安全之sign校验(二)
半盞ˋ流年
01-11 652
前面我们说了sign的生成,那么我们如何确定这个sign的准确性呢,接下来,我们说说校验sign的那些事 在拿到header里面的内容之后 我们首先需要对其内容的基本参数做一个校验,我们补充下Common类的代码 <?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8/15 * Time: 15:00...
api 接口签名验证
cominglately的博客
06-27 854
参考文档: http://hello1010.com/api-sign api安全需要校验: a. 接口的参数是不是被篡改 (参数签名的方式  eg:  $appsecret.$key1.$value1.$key2.$value2...$appsecret ) b. 请求来源是不是合法  (答案同a的解决)         c.  请求是不是有唯一性 (避免被重放请求, 请求中带上时间戳
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值