公共平台API鉴权安全验证

最新推荐文章于 2024-05-15 04:41:45 发布
最新推荐文章于 2024-05-15 04:41:45 发布
阅读量6.1k 收藏 9
点赞数
分类专栏: java java工具类 sign安全验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunzbking/article/details/79787358
版权
api使用签名+时间戳鉴权
请求api接口格式:/api/testserver?appid=xxx&sign=12AA12SD123SD1DSSA&timestamp=1511332935&key1=value1&key2=value2...

参数解释:
appid: 由服务端分配唯一标示id 必传 确认访问身份
timestamp:当前时间戳 必传 确保访问实效性(10位的秒级时间戳)
sign:签名 必传 验证接口安全防止被劫持修改参数

notice:随机数                          必传 防止接口重复提交



签名生成规则:
所有请求参数(包括appid,时间戳,随机数   ) 根据key值的字母升序排序后,以key1value1key2value2。。。的方式连接在 最后加上secretKey(由服务端分配唯一的加密参数,ps:不参与通信)组成的字符串
使用MD5加密转为大写得到sign(签名)

因为secretKey在求情过程中不参与通信,服务端通过对sign的 校验就可以防止接口被劫持修改参数,再加上时间戳保证接口的实效性。

服务端验证签名和时间戳有效后,将sign和notice存入缓存。


请求实例:
如要请求的api为 /api/getUserWalletInfo
api需要传的参数为:userId

step1:生成时间戳 String timestamp= String.valueOf(new Date().getTime() / 1000); // 当前时间的时间戳
step2: 根据参数生成sign
String sb= appidxxxtimestamp1511332935userId1000secretKey
然后对sb进行md5加密转为大写 得到sign
step3:组合访问参数进行http请求:/api/getUserWalletInfo?appid=xxx&sign=12AA12SD123SD1DSSA&timestamp=1511332935&notice=2332&userId=100


服务端验证逻辑:

先验证appid是否合法(不合法返回400),时间戳是否有效(过期返回400),缓存中sign对应的notice是否存在(如果存在代表重复提交,如果不存在将sign和notice存入缓存。),再验证sign时候正确(不正确返回400)


签名生成与校验移步点击打开链接







sunzbking
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
api接口安全验证(sign签名和token验证
yifan_lion的博客
03-30 1万+
api接口安全类型 api接口安全类型一般有以下几种类型(不完全): 防止参数篡改,使用url签名方式 防止未授权用户访问,使用用户token验证 防止未授权应用访问或者爬虫,使用appid,appsecret来保证请求授权访问 防止dos攻击浪费资源,使用时间戳timestamp 防止信息泄露,使用https安全访问 防止重放 ...
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 3323
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi
8年经验之谈 —— 接口测试框架中的鉴权处理!_接口自动化的鉴权问题怎么处理
最新发布
2401_84561850的博客
05-15 441
那我们再分析下查询余额的接口在发起时token信息是如何传递的,依然是fidder工具抓包,我们可以发现在请求的header中有一个字段叫做testfan-token,对应的值就是登录接口返回的token值。码同学全栈接口项目中有基于cookies的查询余额接口,必须先调用登录接口获取cookie并传递给查询余额接口,两个接口的信息如下。码同学全栈接口项目中有基于token的查询余额接口,必须先调用登录接口获取token并传递给查询余额接口,两个接口的信息如下。
浅谈JWT认证(OpenAPI标准解析 - 2)
baijiafan的博客
10-28 1923
JWT认证手段介绍,什么是JWT认证?他和别的认证有什么不同?
spring cloud gateway开发openApi统一鉴权
hjnjmjkj的博客
01-07 1816
通过spring cloud gateway开发openApi统一鉴权
API的认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5129
服务开发干活,API的认证方法总结
中国电信物联网开放平台API参考1.5.1.pdf
08-17
接入层负责设备与平台之间的通信,管理层确保数据的安全与稳定,业务层处理各种应用场景的逻辑,而服务层则提供通用的服务功能,如身份验证、数据存储等。 2. API接口列表 文档详细列出了可供开发者使用的API接口,...
thinkphp5-restfulapi:restful-api风格接口 APP接口 APP接口权限 oauth2.0 接口版本管理 接口鉴权
05-06
详细开发文档参考使用目前tp5.1相关新增功能,包含容器依赖注入、Facade、验证器等,与上一个版本相比,简化代码量,整个代码量只有不到200行,增加鉴权白名单,refresh_token、全局异常处理等欢迎PR老版本tp5.0*...
JWT授权鉴权--相当nice
08-14
在现代Web应用中,JWT被广泛用于用户身份验证和授权,特别是在API的场景下。 标题“JWT授权鉴权--相当nice”暗示了JWT在授权和鉴权过程中的高效和便利性。JWT提供了一种轻量级的身份验证机制,使得客户端可以在获得...
open-api-project:基于反射实现,高效 java版开放接口统一网关鉴权demo项目
05-10
在Java开发中,开放接口的统一网关鉴权是关键的安全措施,它负责验证客户端的请求合法性,防止非法访问。此项目通过反射机制来优化这一过程,反射在Java中允许程序在运行时动态地获取类的信息(如类名、属性、方法等...
过滤器实现鉴权
11-20
- 安全性:无数据库的鉴权方式安全性较低,不适用于生产环境,应使用成熟的认证框架如Spring Security。 - 性能:过滤器会增加每次请求的处理时间,应优化过滤器逻辑,避免不必要的性能开销。 综上所述,"过滤器...
Thinkphp 3.2 下的auth权限认证
我爱吃肉的博客
09-22 1740
tinkphp auth权限认证
对外API接口的安全性设计及鉴权方式
linovce的博客
05-09 1万+
一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 像这种对外的api接口往往对安全性有严格要求,本文整理了一下常用的api鉴权方式以及安全措施(如有不当之处,请路过的大佬指正)。 对外API接口的安全性设计及鉴权方式 API鉴权方式 ...
接口测试显示请求未授权
qq_44973310的博客
12-09 2325
接口测试显示请求未授权
OpenAPI指南
热门推荐
xiaoyi52的专栏
11-07 2万+
OpenAPI指南 基本介绍 什么是OpenAPI OpenAPI规范(以前叫swagger规范)是一个接口文档规范,它用一个文件来描述API接口,包括: 可用的api接口(如/users) 和接口方法 (GET /users, POST /users) 输入和输出参数 鉴权方法 联系信息, 代码许可, 使用条款和其他信息等. 文件可是可以是json或yaml的,完整的规范参见: OpenAPI 3.0 Specification 什么是swagger Swagger is a set of open-
需要权限验证的接口怎么测试
李利科
02-22 2595
后端使用了SpringScurity框架,接口需要权限认证才能访问。下面以ApiPost和谷歌浏览器为例进行讲解: 1)使用前端页面进行登录验证 验证通过后 ,F12查看后台数据,Network->login->Preview(Response),获取token。 2)打开ApiPost,输入要测试的接口.点击“认证”,选择“Bearer auth认证”,输入token,点击“发送”,即可访问接口。 ...
C#请求JavaAPI接口安全校验流程【线下系统定制】(精简版)
欢少的成长之路的博客
05-01 785
简介:以上文章讲述的是【C# 面试考核基础知识】接下来我总结一下【C#请求JavaAPI接口安全校验流程(精简版)】。觉得我还可以的可以加群一起督促学习探讨技术。QQ群:1076570504 个人学习资料库http://www.aolanghs.com/ 微信公众号搜索【欢少的成长之路】 我始终相信,分享的越多收获的就越多!所以这里把我最近几天钻研的项目安全校验机制流程实现与细节分享给大家! 利用RSA加密算法,MD5加密算法,签名认证机制,Token校验机制,时间戳失效机制 加密解密流程 演.
第一篇:java调用公共数据接口:QQ在线状态查询(java调用http接口)
weixin_38680917的博客
01-11 1675
java调用WebService接口:WebXml前言一、选一个web接口作为案例二、查看接口文档1.查看支持的协议2.确认接口地址与参数三、编码1.配置RestTemplate2.引入库2.读入数据总结新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowcha
vue前端公共访问http接口搭建
guxiaohai_的博客
05-06 699
创建server.js请求路径 const ENV = "dev" let origin = ""; switch(ENV){ case "dev": //本地环境 origin = "" break case "test": //测试环境 origin = "" break case "prd": //生产环境 origin = "" break } export default {.
二维码统一管理平台-API接口文档.docx
10-26
API接口文档的主要目的是为了指导开发者如何有效地与一码统管公共平台进行交互,实现应用程序与二维码管理平台的数据交换和功能整合。 1.2 术语 - API接口:Application Programming Interface,应用程序编程接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值