开放API接口签名认证

最新推荐文章于 2024-05-16 15:19:21 发布
最新推荐文章于 2024-05-16 15:19:21 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Java http 文章标签: Java http 认证 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vipbupafeng/article/details/88549406
版权
Java 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
http
1 篇文章 0 订阅
订阅专栏

请求参数:access_key、nonce、timestamp、业务参数列表...、sign签名

签名:access_key+nonce+timestamp+业务参数列表+secret_key,业务参数列表按key自然排序,上各参数以&拼接后进行md5加密,md5转为大写作为sign签名

access_key:用户身份标识,前后端约定

nonce:随机字符串,请求唯一标识,每个请求的nonce均被缓存在服务端(redis),并设置10分钟有效期,防止缓存不断累积

timestamp:当前时间戳,用于判断请求与当前时间差,与nonce对应,设置10分钟有效期,超过时间请求失效,既防止请求长期有效又允许客户端和服务端之间存在10分钟时间差

secret_key:密钥,用于生成sign签名,前后端约定,不能泄漏

服务端:拦截请求(拦截器或AOP均可,配合注解拦截指定接口,便于区分拦截不同接口),根据参数重构md5签名,依次检查access_key、nonce、timestamp、sign的一致性和准确性

简化,不缓存可不携带nonce,将timestamp有效期设置在2~3分钟

 

Simplererer
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
App开放接口api安全性—Token签名sign的设计与实现
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
API接口签名验证
茶爸爸(微信:benyzhous) 的专栏
12-18 3110
系统从外部获取数据时,通常采用API接口调用的方式来实现。请求方和接口提供方之间的通信过程,有这几个问题需要考虑: 1、请求参数是否被篡改; 2、请求来源是否合法; 3、请求是否具有唯一性。 今天跟大家探讨一下主流的通信安全解决方案。 参数签名方式 这种方式是主流。它要求调用方按照约定好的算法生成签名字符串,作为请求的一部分,接口提供方验算签名即可知是否合
api开放平台、api接口大全
最新发布
weixin_44353800的博客
05-16 318
buyer_order_detail获取购买到的商品订单详情。item_list_updown批量获得淘宝商品上下架时间。item_search_samestyle搜索同款的商品。buyer_order_list获取购买到的商品订单列表。seller_order_list获取卖出的商品订单列表。item_search_pro高级关键字搜索淘宝商品。item_search_similar搜索相似的商品。item_search_shop获得店铺的所有商品。buyer_cart_list获取购物车的商品列表。
API开发之接口安全(三)----sign有效时间
weixin_30407099的博客
08-16 431
之前生成的sign和校验sign我们已经完全掌握了、但是仅仅凭借这样的sign是无法满足我们的需求的,如果一个黑客通过抓包抓到你的数据 他可以去修改你的header为这样的 body为那样的 也是可以通过sign校验的 那么我们怎么解决呢 下面将详细的 为大家解说 首先想到这样的一个问题 我么首先应当考虑到的就是sign的时效性问题 如果 我们的sign只有十秒的时间 那就算抓包 他也...
Java实现API sign签名校验
JYKgo的博客
07-11 1025
明文传输是不安全的,使用MD5加密是个简单易行的方式。用户注册后,生成key和secret,用户和后端都持有。用户在发送数据时,将数据以及secret加在一起求MD5,在发送时附带一个sign,sign的值即为刚刚求的MD5值,后端接受到请求后,使用同样的方式求sign,对比是否一致,从而验证身份 其中command为请求体,即requestbody。所有属性按字典序排序后,求MD5值。使用python快速求MD5值,免的写代码的时候需要一个MD5值,java项目启动慢。 参考如下示例......
学习thinkphp中api接口数据安全解决方案之sign有效时间处理
徊忆羽菲
01-03 709
学习thinkphp中api接口数据安全解决方案之sign有效时间处理生成13位时间戳生成sign签名设置sign签名有效期校验sign时间有效期引用签名验证类 生成13位时间戳 在Y:\thinkphpwu\application\common\lib 目录中创建 Time.php 类 <?php namespace app\common\lib; class Time { //获取到13位数的时间戳 13位时间戳是把时间精确到毫秒级,所以两者是1000倍的关系 public
API接口数据安全解决方案-sign
php小白的奔牛历程
09-18 1423
由于接口地址的暴露,导致数据的丢失,所以必须做一些信息验证,所以添加授权码sign是一个很好的解决方法,话不多说,直接开干! 加密解密算法是需要服务端验证通过后将加密解密方案告知客户端。 我这里介绍对header头中的信息(version,app_type等)字段进行AES加密,最后在进行sign有效期验证,以及唯一性验证。 操作步骤 客户端生成sign,在http请求传值sign,app_ty...
开放 API 接口签名验证
yonhu123java的博客
09-09 1693
1. 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一 AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 重放攻击 虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。 timestamp+nonce方案 nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一
开放API接口签名验证,让你的接口从此不再裸奔.docx
11-14
开放 API 接口签名验证,让你的接口从此不再裸奔 开放 API 接口签名验证是指在开放平台上,对 API 接口进行身份验证和参数签名验证,以确保接口安全和防止篡改参数。该方法使用 AccessKey 和 SecretKey 两者结合,...
Api接口TOKEN+签名安全.zip
11-26
"Api接口TOKEN+签名安全.zip"这个压缩包文件很显然是为了探讨如何在Web API中实现安全的鉴权和验证机制。在这个场景下,`TOKEN`和`签名`是两个关键概念,它们在保护API免受未授权访问、防止数据篡改等方面起着重要...
PHP如何使用JWT做Api接口身份认证的实现
01-20
官网简介:JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用...
海康OpenAPI接口测试工具
10-11
海康OpenAPI接口测试工具是一款专门针对海康威视设备和服务进行接口测试的应用程序,它旨在帮助开发者和系统管理员高效地验证和调试海康威视的API接口功能。这款工具对于确保海康威视产品的稳定性和正确性至关重要,...
接口参数加密+时效性检验+签名
诗和远方,代码和你
11-15 4161
一个API就是一把开启神圣之门的钥匙. 只有我的子民才能拿着它, 进入我的王国中. API裸奔,接口暴露, 大门敞开,任何人都可以进入… 接口参数加上公钥,是我发给子民的一把钥匙 . 当一个小偷, 在某个夜黑风高的晚上拿走了这把钥匙, 它也能瞥见我王国的一面. 然后我会在接口参数中再加上时间戳,这是一把带有时间属性的钥匙.只要过了一定的时间,这把钥匙就会失效.就算小偷拿了这把钥匙,时间一过,也就会......
浅谈API开发安全之sign的唯一性(四)
半盞ˋ流年
01-11 790
如何解决sign的唯一性呢,在以往的经验中,我们都是通过标识来确定,如果有,那就用过如果没有那就是没用过,当然我们还需要将sign存储起来,这样我们才能更好的去判断他是否用过 存储的话,我们有几种方式 ,可以存在文件中,也可以存在数据库中,更甚至,我们可以存在redis中,这里我存在文件中,也就是 Cache 中 我们需要在校验通过的时候 将 sign 写入到Cache 中 那么修改 common...
最近整理100多个后台常用开放免费的API (程序员必备)
热门推荐
as167467的博客
10-21 1万+
例如,使用 IBM Watson 语音识别 API 接口,开发者可以实现语音转文本功能,使用 IBM Watson 自然语言处理 API 接口,开发者可以实现文本分析、情感分析等功能。总之,免费的 API 接口为开发者提供了许多便利,可以帮助开发者降低开发成本,提高开发效率。本文介绍了谷歌 API 接口、微软 API 接口、OpenWeatherMap API 接口、Twilio API 接口、IBM Watson API 接口等常用的免费 API 接口,希望对开发者有所帮助。常用免费的 API 接口
Spring Boot入门教程(四十三): API接口设计之token、timestamp、sign
人不风流枉少年
06-24 1万+
一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 Token的值一般是UUID,服务端生成Token后需要将t...
最新收集全网免费的API接口开发平台 (程序员常用,建议收藏)
weixin_40765529的博客
10-27 5152
API接口开放平台是一种提供API接口服务的平台,它可以让开发者通过API接口访问第三方软件或服务,从而实现各种功能。通过使用API接口,开发者可以在自己的应用程序中集成第三方软件或服务的功能,从而提高应用程序的价值和功能。API接口还可以提供更好的可伸缩性和可维护性,因为第三方软件或服务通常会负责维护和更新API接口,从而减轻开发者的负担。本文将介绍API接口开放平台的概念、优势以及如何选择合适的API接口开放平台。:主要是测评类API接口、素材类API接口、项目常用API接口、常用功能API接口
java API接口签名授权安全认证问题
xulong5000的专栏
08-31 1747
1:使用开源的jar包 API-Signed: 一个轻松实现API签名校验的库。 (gitee.com) 本地下载源码:E:\JavaCode\java-API签名校验 2:该jar 包操作说明 本仓库包含以下内容: 签名校验的源码 基于Spring boot的web示例 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。 该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。 同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。
云海IaaS开放API设计思路-v0.751
08-08
云海IaaS开放API设计思路是指云海IaaS云服务提供的开放API接口设计思路,旨在帮助用户快速了解云海IaaS云服务的API接口调用方式和设计思路。本文将详细介绍云海IaaS开放API的设计思路、调用方式、流程设计、请求结构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值