App开放接口api安全性—防腾讯签名sign的设计与实现

最新推荐文章于 2024-06-29 17:41:55 发布
最新推荐文章于 2024-06-29 17:41:55 发布
阅读量5.8k 收藏 7
点赞数
分类专栏: java工具 java之路 文章标签: api string 腾讯 开放 设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_15153911/article/details/78790295
版权

前言:api裸奔时代已结束,企业级高可用api设防腾讯sign设计与实现。。。
这里写图片描述

设计起来就是头冷。。。

有三个关键点:接口参数加密+时效性验证+私钥

首先定义几个参数:

int age = 0;
        String app_id = "123";
        String name = "撒旦法";
        String nonce_str = _stringUtil.getCharAndNumr(16, 3);
        String sign = "";
        String time_stamp = _timeUtil.getTimeStamp();
        String app_key = "123456";

就是一个姓名为XX年龄为Y的appid用户在time_stamp这个时间拿着app_key钥匙nonce_str 随机打开sign 门,然后偷窃。。。

偷窃未遂,这很安全吧。。。

首先要确定偷哪个房屋,sign门需求确定。

sign = YhSignSort.getSignature(map);
//      System.out.println("生成的sign参数:" + sign);

怎么确定?偷了穷的人家怎么办,我们是劫富济贫的,所以需要调研。。。
算法实现

签名算法采用MD5摘要方式实现,步骤如下:

1、将参数对按key进行字典升序排序,得到有序的参数对列表N
2、将列表N中的参数对按URL键值对的格式拼接成字符串,得到字符串T(如:key1=val1&key2=val2),值使用URL编码
3、将应用密钥以app_key为键名,组成URL键值拼接到字符串T末尾,得到字符串S(如:key1=val1&key2=val2&app_key=密钥)
4、对字符串S进行MD5摘要计算,将得到的md5值转换成大写,最终得到接口请求签名
String secret = "123456";  //把secret加入进行加密 MD5盐值加密app_id 这里很多加密算法 现在假设加密结果是123456

        boolean a = validateTimeStamp(time_stamp);
        if (a) {
            System.out.println("time_stamp参数无效"); //请检查time_stamp距离当前时间是否超过5分钟
        }

//      map.put("nonce_str", "");
//      map.put("age", "");
//      map.put("app_id", "123");
        if("".equals(map.get("app_id"))){
            System.out.println("缺少app_id参数");
        }else if(!"123".equals(map.get("app_id"))){
            System.out.println("appid应用不存在");
        }else if("".equals(map.get("time_stamp"))){
            System.out.println("缺少time_stamp参数");
        }else if("".equals(map.get("nonce_str"))){
            System.out.println("缺少nonce_str参数");
        }else if(validateSign(map,sign)){
             if("123456".equals(secret)){
                    System.out.println("验证成功");
                }else{
                    System.out.println("缺失API权限");
                }
        }else{
            System.out.println("请求签名无效");
        }

validateTimeStamp方法是验证失效性

validateSign方法是验证签名正确性

一个app_id对应多个应用,只要app_key正确,可以访问,否则访问失败。app_key是根据app_id
加密加密生成,可以怎么生成也行,只要不被破解,或告诉别人,也可以重新生成。

需要源代码学习,可加QQ490647751回复‘开通vip——App开放接口api安全性—防腾讯签名sign的设计与实现’获取。

艳学网
关注
专栏目录
Java API接口设计的安全实践:从零开始深度解析
java专栏
04-21 476
APIApplication Programming Interface)是一组预定义的方法和规则,允许不同的软件组件之间进行交互。在Java中,通常通过定义类、接口和方法来构建API。安全的API设计旨在确保接口在被外部调用时,既能满足功能需求,又能止潜在的安全威胁。通过以上步骤,我们从零开始构建了一个深度解析的安全Java API框架,涵盖了接口设计、安全逻辑实现、身份验证与授权、输入验证、错误处理等多个关键环节。遵循这些实践,您可以确保所设计API接口既满足功能需求,又具备良好的安全护能力。
PHP的API接口apiSign生成规则【请求签名参数生成规则】
a898712940的博客
04-28 4178
PHP后端: 一、请求地址示例 1、请求地址 http://www.zhikev2.com/exam/seeTest?timeStamp=1525096310&apiSign=324owefldskfjsdk&userName=luowei 注:timeStamp为当前时间戳 2、参数说明 上述请求地址中附带了三个参数timeStamp、apiSign、userNa...
开放接口签名(Signature)实现
Wang________的博客
06-03 2531
*** 签名算法实现=>指定哪些接口或者哪些实体需要进行签名*///允许重复请求/*** 开放接口签名工具类* @desc 接口校验工具类* 生成有序map,签名,验签* 通过appId、timestamp、appSecret做签名* @menu*/@Slf4j/*** 生成签名sign
API接口数据安全解决方案-sign
php小白的奔牛历程
09-18 1456
由于接口地址的暴露,导致数据的丢失,所以必须做一些信息验证,所以添加授权码sign是一个很好的解决方法,话不多说,直接开干! 加密解密算法是需要服务端验证通过后将加密解密方案告知客户端。 我这里介绍对header头中的信息(version,app_type等)字段进行AES加密,最后在进行sign有效期验证,以及唯一性验证。 操作步骤 客户端生成sign,在http请求传值signapp_ty...
Api接口Sign签名和验签
weixin_42180332的博客
06-16 3576
采用Sign =MD5(app_id , app_secret+timestamp) 验签校验 请求必带参数 version+app_id+timestamp+sign 前端请求为Json体 package com.hero.common.utils.signature; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.ServletRequest; im
api接口安全--签名(sign)与登录(token)验证
weixin_38056904的博客
06-19 1万+
前言 1.在app开放接口api设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开...
SpringBoot接口 - API接口有哪些不安全的因素?如何对接口进行签名
m0_71777195的博客
07-18 877
***/}
tp3封装腾讯云短信接口
09-04
在IT行业中,尤其是在Web开发领域,使用短信接口进行身份验证、通知服务等是非常常见的...在实际项目中,还可以根据需要增加更多的功能,比如短信发送频率限制、短信验证码有效期检查等,以提升用户体验和系统安全性
SpringBoot实现接口签名止篡改(V2)
明平姚的博客
07-09 1660
SpringBoot实现接口签名止篡改
腾讯云服务器网关,腾讯API网关实践-网关怎么设置
weixin_36233098的博客
07-30 1680
API网关示例图什么是API网关?API 网关(API Gateway)是 API 托管服务,提供 API 的完整生命周期管理,包括创建、维护、发布、运行、下线等。您可使用 API Gateway 封装自身业务,将您的数据、业务逻辑或功能安全可靠的开放出来,用以实现自身系统集成、以及与合作伙伴的业务连接。API网关,其实就是一个服务器,它封装了系统的所有业务,为不同的客户端(Web,App等)提供...
java 保证api接口安全
最新发布
2301_78159247的博客
06-29 368
通过以上步骤的实现,你就可以保证Java API接口的安全了。希望你能够理解并掌握这些内容,将来在开发过程中能够更加安全地使用API接口
腾讯签名工具可复制版
04-02
接过微信支付的都知道微信需要签名验证,但是它给的工具不好用,生成签名无法复制,我现在做了一下优化,可以复制到剪贴板
java api安全验证_关于java:保证接口安全性开放-HTTP-API-接口签名验证
weixin_28993311的博客
02-23 675
接口平安问题申请身份是否非法?申请参数是否被篡改?申请是否惟一?AccessKey&SecretKey (开放平台)申请身份为开发者调配AccessKey(开发者标识,确保惟一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜想)。避免篡改参数签名依照申请参数名的字母升序排列非空申请参数(蕴含AccessKey),应用URL键值对的格局(即key1=value1&amp...
如何保证API安全?
java_2017_csdn的博客
01-22 665
最近知识星球中有位小伙伴问了我一个问题:如何保证接口安全性? 根据我多年的工作经验,这篇文章从11个方面给大家介绍一下保证接口安全的一些小技巧,希望对你会有所帮助。
食物API接口免费开放-APP数据接口
热门推荐
AndyLizh的专栏
07-18 1万+
食品API接口免费开放-APP数据接口 食疗大全 (food.yi18.net)是医药吧网(www.yi18.net)旗下的食品信息网。 专门提供食品信息,食品功能与食疗分类。 现在食疗大全网 中有3千左右的食品信息,同时每天有10个左右的数据更新。 虽然食品总数不多,但我们会不断的更新域维护。 食品API不仅提供APP调用,同时也可以支持网站
开放接口API安全性
lazy的专栏
09-28 3784
服务端对外开放API接口,尤其对移动应用开放接口的时候,更需要关注接口安全性的问题,要确保应用APPAPI之间的安全通信,止数据被恶意篡改等攻击。 安全考量点 Token机制 开放接口时最基本需要考虑到接口不应该被别人随意访问,而我也不能随意访问到其他用户的数据,从而保证用户与用户之间的数据隔离。这个时候我们就有必要引入Token机制了。具体的做法: 在用户成功登录时,系统可以返回客户端...
Java接口sign签名sign验签处理
qq_44749121的博客
05-11 695
1.Java接口sign签名工具类。
【JavaWeb】浅谈接口安全设计指南(含源码)
墩墩分墩
02-25 1593
### 1.数据加密 我们知道数据在传输过程中是很容易被`抓包`的,如果直接传输比如通过`http协议`,那么用户传输的数据可以被任何人获取,所以必须对数据加密。常见的做法对关键字段加密,比如:用户密码直接通过md5加密。 - 现在主流的做法是使用`https协议`,**在http和tcp之间添加一层加密层**`(SSL层)`,这一层负责数据的加密和解密; ### 2.数据加签 数据加签就是由发送者产生一段无法伪造的一段数字串,来保证数据在传输过程中止被抓包篡改。 你可能会问数据如果已经通过`http
调用其他服务器接口证书_API 接口安全性设计
weixin_39927799的博客
11-29 276
# API 接口安全性设计## 实现约定规则### 调用方按照规则加密,传输对应参数### 服务方按照规则解密## 止被其他人调用### appKey & signKey- 原理 - 通过 appKey 标识不同调用方 - 利用 signKey 和 传入参数 生成 sign 进行加密 - signKey 只在本地加密,不参与网络传输 - 比较好的加密方式是 通过 rsa 加密的方...
APP接口安全护策略:签名验证与登录授权
"APP接口保护方案旨在确保移动应用的API安全,止未经授权的访问和数据篡改。在传统的Web应用程序中,服务器会利用session来验证用户的身份,但在无状态的RESTful API中,这种机制并不适用。因此,需要采取额外措施...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值