URL请求加密 参数的sign签名 与验签

最新推荐文章于 2024-06-27 17:57:36 发布
最新推荐文章于 2024-06-27 17:57:36 发布
阅读量4.6k 收藏 12
点赞数 2
分类专栏: 基础 文章标签: 加密解密 api secret java 验签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010020726/article/details/115538139
版权

如何保证 请求的安全

  1. url参数防篡改
  2. sign 防重放
  3. 来源(身份)是否合法

签名设计方案

设计 客户端规则

给不同客户端 如(app)分配对应的 商户 key, secret 用来确认请求来自 哪一端
key :xxxAndroid.3.14
secret : dfsdfsfxxxxx (用来加密sign)
假设 url 传递的参数为
id: wxd930ea5d5a258f4f
device_info: xxx
body: test
nonce_str: ibuaiVcKdpRxkhJA (该参数是防重放用 ,每次请求随机生成一个 随机字符串,此处可换成 时间戳,做范围时间内sign 失效)
第一步:对参数按照key=value的格式,并按照参数名ASCII字典序排序如下:
stringTemp="body=test&device_info=xxx&id=wxd930ea5d5a258f4f&nonce_str=ibuaiVcKdpRxkhJA";
第二步:拼接API密钥生成Sign:

将上面 第一步生成的stringTemp 拼接上 客户端分配上的 secret

stringSignTemp=stringTemp+"&secret=dfsdfsfxxxxx" //注:secret为后台返回的的密钥key,对应的secret
//"body=test&device_info=xxx&id=wxd930ea5d5a258f4f&nonce_str=ibuaiVcKdpRxkhJA&secret=dfsdfsfxxxxx"

sign=hash_hmac("sha256",stringSignTemp,key).toUpperCase();
//"6A9AE1657590FD6257D693A078E1C3E4BB6BA4DC30B23E0EE2496E54170DACD6"
第三步:最终得到最终发送的数据:
id: wxd930ea5d5a258f4f
device_info: xxx
body: test
nonce_str: ibuaiVcKdpRxkhJA (该参数是防重放用 ,每次请求随机生成一个 随机字符串)
key=xxxAndroid.3.14 (可放在header)
sign: 6A9AE1657590FD6257D693A078E1C3E4BB6BA4DC30B23E0EE2496E54170DACD6(可放在header)

设计 服务端验签规则

第一步:将前端请求参数(除去key,sign后的)按照key=value的格式,并按照参数名ASCII字典序排序如下:
stringTemp="body=test&device_info=xxx&id=wxd930ea5d5a258f4f&nonce_str=ibuaiVcKdpRxkhJA";
第二步:根据key 去数据库查找对应的secret,拼接API密钥生成Sign:
stringSignTemp=stringTemp+"&secret=dfsdfsfxxxxx" 

serverSign=hash_hmac("sha256",stringSignTemp,key).toUpperCase();
第三步: 对吧后端生成的 sign 是否 与前端传递的sign值 是否一致
if(serverSign ==sign){
	//todo
}
aaaak_
关注
专栏目录
(支付接口)签名验签请求参数加密方法
08-12 4619
当我们在测试支付接口的时候,发现每个接口需要将请求的敏感数据加密后才能请求接口,遇到这种问题怎么解决呢? 特别是当我们在写python接口自动化测试脚本的时候,这是必须要解决的问题。下面我来详细的写下这个过程: 首先,我们需要拿到商户的公钥和公司的公钥,商户有自己的私钥,私钥只要商户自己知道。加密的时候拿公司的公钥加密签名时拿商户的私钥签名。 这样传送的数据会拿商户的公钥去验签才能通过。 ...
支付宝 java 签名算法_(支付宝)签名与验
weixin_33132553的博客
02-13 3126
#签名与验更新时间:2017-06-13# [](https://docs.open.alipay.com/#%E8%AF%B7%E6%B1%82%E5%8F%82%E6%95%B0%E7%AD%BE%E5%90%8D)请求参数签名1. 筛选获取所有请求参数,不包括字节类型参数,如文件、字节流,剔除signsign\_type参数。2. 排序将筛选的参数按照第一个字符的键值ASCII码递增...
Android网络请求-sign参数的设置方式
08-19
主要介绍了Android网络请求-sign参数的设置方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
丁香公开课请求 sign签名) 算法分析过程讲解
啊~~~ 小风车...
09-18 2353
本教程仅供学习。如有侵权请联系本站删除。 背景分析 1.网站链接:https://class.dxy.cn/ 2.所有异步请求都会带上sign=xxxx,并且每次sign只能用一次。 3.目的:解决sign的算法,得到正确的值。 4.初步定位算法js为:https://assets.dxycdn.com/gitrepo/dxycourse-pc/dist/index.e8a8a63d2fc74a69.js格式化一看发现有6万多行的JS。有点头大,但是JS没有加密,只是打包了。 0x0、定位 ..
关于wx.config报错 invalid url domain 及 invalid signature 错误原因及解决方式
最新发布
m0_68956554的博客
06-27 1884
当报错 invalid url domain时 ,错误原因就是url并没有在公众号设置里正确设置。
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2991
通过生成sign对网络请求进行加密的算法案例分析
前端和后台对接时对sign加密方法
weixin_30530339的博客
08-22 878
前端和后台对接时对sign加密方法 1 /*后台php对接进行sign加密 2 1 获取向后台请求的数据data(key/value方式),可以是个对象(obj),也可以是数组(arr); 3 2 将数据的key按照ASCII单独排序,利用数组sort方法,注意不对value排序; 4 3 将排序...
sign 签名验证
殇沫流年的专栏
08-05 6056
/** * RSA签名 * @param content 待签名数据  (格式:key=value&key2=value2) * @param privateKey         商户私钥 * @param input_charset 编码格式 * @return 签名值 */ public static String sign(String content, String p
java实现URL签名算法
liang_336的博客
10-12 701
下载地址 http://nginx.org/en/download.html 我下载的是nginx-1.10.1版本,官方说是最新稳定版 解压到文件夹;我解压到D盘目录下,并重命名文件夹为nginx 双击nginx.exe启动 访问locahost 该页面为默认页面,可以根据具体需求修改; 1、修改默认网页内容 - nginx/html/index.html 2、修改配置路径 - ng...
接口测试加密解密以及接口签名sign原理
mango22_2的博客
05-30 5627
一、什么是加密以及解密 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据 二、加密方式分类 对称式加密:对加密和解密使用的是同一个密钥 非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。 三、加密方式详解 1、加对称密技术: DES加密算法:加密安全性弱,一般应用于旧的系统里面 AES加密算法:一般用于前后端分离的接口加密 Base64加密算法:编码的方
非对称加密算法 - RSA签名&验签授权
寻找小小的博客
12-27 3282
非对称加密算法 - RSA签名&验签授权
MD5加密+签名算法Sign生成 工具类
08-04
MD5加密+签名算法Sign生成 工具类。 用于调式远程接口或者做用户加密登录等等。 亲自调试过,都是可以用的。 不用自己再自己去写算法轮子! 大家都搬起来!
微信公众号前端签名算法sign.js
04-26
需要微信公众号签名算法的可以在这里下载下来,sign.js,使用方法已经在我博客里面提及到,敬请下载
springboot实现接口签名
06-06
首先,接口签名的基本原理是通过一种约定好的方式,如哈希算法,将请求的特定信息(如URL参数、时间戳等)和一个私有密钥结合,生成一个唯一的签名字符串。接收方接收到请求后,同样使用同样的算法和密钥对请求...
Sign签名计算、验签实例(对外提供接口)
weixin_41037842的博客
04-12 4414
对外提供接口签名sign计算、验签实例一、简述二、签名设计及计算过程三、UML图四、代码实例 一、简述 1、对外提供接口,为保护参数不被修改,保护数据的安全性,需要在客户端调用时接口添加签名、服务端对接口进行验签; 2、本实例中authKey是不参与通信,整个过程中authKey是不参与通信的,所以只要保证authKey不泄露,即使请求参数被其他原因泄露,请求也不会被伪造。 二、签名设计及计算过程 1.己方系统提供 clientId: 由于己方系统可能会对外不同角色方提供接口(第三方系统app、第三方系统P
接口请求签名
u010244522的博客
11-18 622
接口请求签名
Jmeter BeanShell PreProcessor 实现前端请求动态签名
swing12的博客
11-25 513
1. BeanShell 脚本如下: import java.util.*; import org.apache.jmeter.config.Arguments; import org.apache.jmeter.config.Argument; import org.apache.commons.lang3.StringUtils; import org.apache.commons.codec.digest.DigestUtils; SortedMap params = new Tree..
Java接口sign签名sign验签处理
qq_44749121的博客
05-11 596
1.Java接口sign签名工具类。
api接口的数字签名
lrq3的专栏
08-28 1627
必要的输入参数 参数名 类型 必选 描述 appid string 是 调用方身份ID,接口提供方用此来识别调不同的调用者,该参数API基本规范的一部分,请详见API公共规范。 _ign string 是  一次接口调用的签名值,服务器端 “防止 伪
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值