客户端校验hmac通过而服务端校验不通过的问题

最新推荐文章于 2024-07-13 09:00:00 发布
最新推荐文章于 2024-07-13 09:00:00 发布
阅读量6.2k 收藏 5
点赞数 2
分类专栏: s2: 软件进阶 s2: 活捉Bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stpeace/article/details/79845880
版权

       最近, 在客户端利用hmac生成了signature,  并利用工具确认, signature生成正确, 但是, 当把参数和signature发到服务端进行校验后, 死活不通过。 问题是, 我看不到服务端长啥样。

       思考了一下hmac的逻辑, 大概知道服务端该怎么校验了, 大致来说说:  

      1. 客户端申请appid和appkey,  然后利用hmac(params, appkey)生成signature,  其中params中包含有appid.  然后把params和sigature发给服务端。

       2.  服务端从params中获取到appid,  然后从数据库中查出appkey,  然后和客户端进行相同的动作生成signature, 然后比对两个signature.

       居然不一样?

      最可能的原因是, 服务端在根据appid找找appkey时候, 不匹配, 甚至根本找不到。  确认了一下, 果然如此, appid和appkey没对应(是产品经理申请后, 给到开发人员手中, 给错了)

      

      了解原理, 还是很有用的。



涛歌依旧
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
代码:go研发实际生产中hmac的验签过程
abcnull 的博客
04-01 889
文章目录简介验签代码 简介 go 开发生产中常用的验签的包是 hmac服务端一般验签流程是:发送方和接收方共享一个密钥 secret,然后发送方要发消息给接收方,会把原始信息(明文)和使用 secret 计算的 hmac 值(签名)一起发过去,接收方接收到消息之后,使用自己手中的 secret 把传过来的原始信息重新计算一下 hmac,看自己计算的 hmac 和发送过来的 hmac 如果匹配就认为验签成功 为什么不怕数据中途截获呢?因为如果别人中途截获了数据,知道原始信息和签名,但是无法反向解析,比如
【密码学】基于 SM3 算法的 HMAC 快速实现
热门推荐
R.G.
05-22 1万+
基于 SM3 算法的 HMAC 快速实现 Presented by R.G. 如不想阅读详细实现原理,请直接阅 读SM3hmac快速上手(使用手册) 部分,本文所有的代码文件见我的github仓库RG_SM3hmac,欢迎关注~ 注: 本README有少量数学公式需要LaTeX支持,github貌似没有原生支持LaTeX,若您在阅读本README时无法正确显示数学公式,请安装支持LaTeX显示的浏览器插件,我推荐 MathJax Plugin for Github 插件 注:如果你的github无法
iOS面试 - 消息认证码算法 HMAC
weixin_46024722的博客
04-02 358
HMAC (Message Authentication Code,消息认证码算法) :利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。 HMAC 主要使用在身份认证中,认证流程如下: 客户端向服务器发送一个请求; 服务器接收到请求后,生成一个“随机数”并通过网络传输给客户端客户端将接收到的“随机数”和“密钥”进行 HMAC-MD5 运算,将得到的结果作为认证数据传递给服...
搭建宜搭三方微服务
weixin_40601267的博客
05-31 3379
摘要 本文着重介绍我方与宜搭平台交互的微服务架构设计,与接入过程中的核心知识点分享。 关键词: 宜搭、后端、python 作者:OA 李亚楠 背景 公司合同管理、对公付款业务使用阿里宜搭进行搭建,需要将宜搭平台的数据拉回到我方进行精加工,同时也要将我方系统的数据与宜搭服务进行联动,丰富我们的业务系统的功能;考虑到我们还有不少系统以后会接入宜搭平台,为后期的快速接入和功能升级,特将本次宜搭三方微服务的搭建遇到的问题以及解决方案分享出来,与诸君共勉。 服务框架介绍 上图简要分析了我方系统框架各个模块的逻辑关系,
加密与安全_深入了解Hmac算法(消息认证码)
最新发布
A_991128a的博客
07-13 742
Code)算法是一种基于哈希函数的消息认证码算法,用于验证消息的完整性和认证消息的发送者。它结合了哈希函数和密钥,通过将密钥与消息进行哈希运算来生成消息认证码。首先,选择一个适当的哈希函数(如MD5、SHA-1、SHA-256等)和一个密钥。将密钥进行适当的填充和处理,以满足哈希函数的输入长度要求。将消息与填充后的密钥按照特定的方式进行组合。对组合后的数据进行哈希运算。将哈希结果作为消息认证码输出。
hmac-signature:HMAC签名示例
05-18
hmac签名 HMAC签名示例 配置go 安装go运行时。 在Mac上,输入: brew install go 在Ubuntu / Debian上,输入: sudo apt-get install golang 设置$GOPATH : export GOPATH=~/GO mkdir -p $GOPATH export PATH=$GOPATH/bin:$PATH 安装 使用go get go get github.com/dcu/hmac-signature 使用git clone git clone https://github.com/dcu/hmac-signature cd hmac-signature go build hmac-signature.go 用法 hmac-signature -key="<a>" -url="<url>" -non
HMAC的签名生成方式
weixin_30600503的博客
06-25 2099
hmac第一种:my_sign = hmac.new(b'adkjffdkajkjkjnm', bytes(signstr, 'utf-8'), hashlib.sha1).digest()my_sign = base64.b64encode(my_sign)print(my_sign) r = requests.get(url, params=param, headers=header) ...
HMAC API 接口签名 Message安全验证
心猿意码
05-21 1521
什么是HMACHMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 为什么需要API接口签名? 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能...
【PHP服务端进行sessionkey校验时,部分用户返回签名非法,invalid signature解决方法】
CodeRode的博客
02-10 411
获取token,远程请求,微信获取验签失败,解决方法,PHP
【java面试经(架构师&设计师)-第9课】网络编程校验方法和加密算法
金和弦的博客
05-09 474
技术清单 申明:本文属于整理加工原创,部分举证材料来自于网络,仅用于学习参考。 本文主要介绍java网络协议相关知识,通过本文讲解,你可以明白: 1、海明码校验和CRC校验; 2、DES、AES和XXTEA; 3、RSA、TLS和SSL; ...
XSS,sql注入入参安全校验
zhyke
08-15 1124
案例1:跨站运行脚本(XSS) <html> <form> <input name="foo" value=' <?php {$_GET['foo']} ?>' > </form> </html> alert('foo') 请求参数输入上面内容 执行上面会出现 上面输入只是简单案例,按照这个思路那...
宜搭php对接openapi遇坑集锦
蓝枫秋千的踩坑记录
03-30 1956
准备工作 openapi文档 需要做的事情: 提交申请获取AK和SK,后面会解释使用在哪里 提交了申请之后据说会主动联系你,但我过了3,4天没有回应就主动去对接群里询问了 官方文档 需要做的事情:下载SDK,复制demo代码 解释一下 这里的SDK和demo其实是两种方式,并不是两个步骤,理论上都能够做到 但是实际上我是结合了两个文件才把坑填好 我使用的demo示例中的形式,新建文件,复制demo代码进行修改 sdk的文件我只是作为参考对比借鉴 获取宜搭的应用密钥 应用 填
关于CSDN获取博客内容接口的x-ca-signature签名算法研究
Hello_wshuo
10-27 3270
前言 源码下载 不知道怎么就不通过了,这篇文章放出去几个月了,然后突然告诉我不行了,所以我打算换个平台(至少不能在一棵树吊死),垃圾审核 我最初想直接获取html博客,然后保存在本地,最后发布到别的博客平台,但是html直接爬取样式布局方面很不协调,所以我决定寻早我原始的markdown格式(我都是用markdown写的,而不是用富文本编辑器) 接口 简单调试得到 https://bizapi.csdn.net/blog-console-api/v3/editor/getArticle?id=109204
实现接口访问的HMAC-SHA1签名算法
Json的知识梦工厂
10-13 3467
PHP交流群:294088839,Python交流群:652376983 public function index(){ $url = ''; $method = "POST"; $arr=C('yjs'); //第三方Id $arr['X-User-Id']='1'; //访问url路径后缀 $arr['path']=''; $url=$url.$arr['path'];
用nodejs配合python破解X-Ca-Signature,抓取博客积分数据
kiramario的博客
04-13 1957
世界上最稀缺的资源是时间。 在某一瞬间我惊恐得发现,一生三万天,已过三分之一,念及年少不更事,蹉跎而过,觉得心中有愧。至今无建树,脑袋里想起一句话,“不因虚度年华而悔恨,也不因碌碌无为而羞耻”。 如今发起少年狂,对一切都感起兴趣,深知往者不可谏,来着犹可追。空有胸中之宏远,奈何路漫漫其修远,深感无力,只有择一事,写点博客吧!来一点点弥补辜负的少年时光。 目录准备积分接口代码nodejspython更多方法 准备 安装nodejs,安装fiddler,配置抓取https(后来我想到可以直接用chrome的.
HMAC 详解:在 Golang 中实现消息认证码
路多辛的所思所想
11-10 664
HMAC(Hash-based Message Authentication Code)是一种基于 Hash 函数和密钥的消息认证码,由 H.Krawezyk,M.Bellare,R.Canetti 于1996年提出的一种基于 Hash 函数和密钥进行消息认证的方法,并于1997年作为 RFC2104 被公布。HMAC 将密钥、消息和哈希函数一起使用,确保消息在传输过程中不被篡改,还可以验证消息的发送者身份。
编程语言Java接口签名(Signature)实现方案
01-20 5351
编程语言Java接口签名(Signature)实现方案 Java接口签名(Signature)实现方案 大家好,我是程序员田同学! 今天上午收到一个需求,针对当前的系统开发一个对外开放的接口。 既然是对外开放,那么调用者一定没有我们系统的Token,就需要对调用者进行签名验证,签名验证采用主流的验证方式,采用Signature 的方式。 一、要求 下图为具体要求 二、流程 ​ 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、
【贵旅优品】贵旅空港黄果树
yxp1198287349的博客
07-18 2651
signcode算法分析 贵旅 空港 安心 黄果树
HmacSHA1 js和java加密的结果不一致
qq_45400200的博客
09-29 1763
HmacSHA1,我的前端js加密后和后端java加密后加密串不一致,也不知道啥原因。经过一系列尝试,最后前端用crypto里的加密才和后端的保持一致,个人理解是CryptoJS里的hmac加密默认【二进制转文本】使用的是hex方式,然后crypto提供了base64的方式,用完后发现和后端加密的串是一致的。
JWT校验密码未通过
07-28
4. 校验算法不匹配:JWT支持多种签名算法(如HMAC、RSA等),校验时需要使用与生成Token时相同的算法。如果算法不匹配,校验密码将会失败。 请检查上述可能的原因,并根据具体情况进行排查和修复。如果问题仍然存在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值