java反向认证接口,API接口身份验证方案设计

最新推荐文章于 2023-09-10 13:10:17 发布
最新推荐文章于 2023-09-10 13:10:17 发布
阅读量470 收藏
点赞数
文章标签: java反向认证接口

Http Basic Authentication

Http Basic Authentication是一种比较简单的身份认证方式。

在 Http 请求Header 中添加键值对 Authorization: Basic xxx,其中xxx 是 base64(username:passowrd)。

例如 username 为 zmk ,password 为 123456,请求则如下

GET /auth/basic/ HTTP/1.1

Host: xxxxx

Authorization: Basic em1rOjEyMzQ1Ng==

而 Base64 的解码是非常方便的,如果不使用 Https ,相当于是帐号密码直接暴露在请求中。

但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth。

Http Session

Session就不用多说了,至于分布式Session实现方案 Java中通过Spring Session可以很方便的实现分布式Session管理。

缺点:

对移动端(Android、iOS)不够友好。

app_id + app_secret签名

逻辑如下:

用户登录成功返回一个api_key和api_secret, 客户端将api_secret存在客户端;

当要发送请求之前,将所有参数按字典顺序拼接到一起SHA512后得到一个sign;

发送请求的时候,则将除去api_key之外的值,以及sign一起发送给服务器端;

服务器端首先验证时间戳是否有效,比如是服务器时间戳5分钟之前的请求视为无效;

根据请求api_key对应的api_secret验证sign。

算法代码实现如下:

private static final String UTF_8 = "UTF-8";

public String genSignature(Map param, String secret, boolean encode) {

Set keysSet = param.keySet();

Object[] keys = keysSet.toArray();

Arrays.sort(keys); //按参数名字典顺序排序

StringBuilder sb = new StringBuilder(1024);

for(int i=0; i

if(i!=0){

sb.append("&");

}

sb.append(keys[i]).append("=");

String value = param.get(keys[i]);

String valueString = "";

if (null != value) {

valueString = value;

}

if (encode) {

sb.append(urlEncode(valueString));

} else {

sb.append(valueString);

}

}

sb.append(secret);

return DigestUtils.sha512Hex(sb.toString());

}

private String urlEncode(String str) {

try {

return URLEncoder.encode(str, UTF_8);

} catch (UnsupportedEncodingException e) {

throw new IllegalArgumentException("unsupported encoding:"+UTF_8);

}

}

Token Auth

当客户端登录成功之后,给客户端返回一个token,服务器端控制该token的有效期,每次请求都带上该值,然后服务器端做验证。

整体流程如下:

ccbf094c483ef00dcabd39ccf5d0ecc3.png

Token Auth的优点

Token机制相对于Cookie机制有如下好处:

支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.

更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。

CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。

JWT

知乎市场团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb】如何优雅的实现第三方开放api接口签名(有状态/无状态)
墩墩分墩
02-12 5493
签名流程 签名规则 线下分配appid和appsecret,不同的调用方分配不同的appid和appsecret 加入timestamp(时间戳),5分钟内数据有效 加入临时流水号nonce(防止重复提交),至少为10位 针对查询接口,流水号只用于日志落地,便于后期日志核查。 针对办理类接口需校验流水号在有效期内的唯一性,以避免重复请求。 加入签名字段signature,所有数据的签名信息。 以上字段放在请求头中。 签名的生成 签名signature字段生成规则 所有动态参数 = 请求头部分
post调用接口(附带身份验证和自带参数的方式)
09-22
post调用接口(附带身份验证和自带参数的方式),自己在百度上搜索了很多都不如意,最后自己整理了一套代码示例
接口测试总结
Adele的专栏
08-13 1107
1、什么是接口测试? 接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。 2、为什么要做接口测试? (1)业务需要: 当前互联网产品迭代频繁,很难在每个迭代周期对所有功能做完整的回归测试。即使有完整的UI自动化,其维护成本也很高,且产出比很低。相较之下,接口自动化测试则实现简单,维护...
webhook-java实现反向API接口
东方小硕
03-22 8479
@TOC webhook是什么 为什么是webhook 如何用java实现webhook
了解基于Token的身份验证的来龙去脉
让我们荡起双桨的博客
03-29 9391
简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token的身份验证 1.无状态、可扩展  2.支持移动设备  3.跨程序调用  4.安全   那些使用基于Token的身份验证的大佬们 大部分你见到过的API和Web应用
java API接口签名授权安全认证问题—基于HMAC的rest api鉴权处理
songkai558919的博客
01-26 2485
创建一个拦截器 public class AkSkAuthInterceptor implements ClientHttpRequestInterceptor { private static final String HEADER_X_CONTENT_MD5 = "X-Content-MD5"; private static final String HEADER_X_VERSION = "X-Sign-Version"; private static final Stri
开放api接口平台鉴权怎么做?
Java后端技术栈
03-24 1749
方式2:拦截器+注解实现
API 接口的安全性及鉴权方式
热门推荐
Wollens Blogs
01-16 1万+
什么是 API 鉴权 公司、个人开发的系统上线后,系统中 API 暴露到互联网上会存在一定的安全风险,eg: 爬虫、恶意访问等。因此我们要先对接口调用方做一个用户鉴权,对访问 API 权限进行限制,如果鉴权通过则允许用户调用 API。根据不同的场景鉴权方案也有很多种。 常用 API 接口安全措施???? 数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 数据签名
接口鉴权实践
hxj413977035的博客
12-03 5889
我们知道,做为一个web系统,少不了要调用别的系统的接口或者是提供接口供别的系统调用。从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的鉴权操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网无疑是 而这不仅有暴露数据的风险,同时还有数据被篡改的分享,严重的甚至是影响到系统的正常运转! 接下来,我将结合实际代码,分享一套接口鉴权实践方法。 方案一 appId和secret 接口鉴权?那还
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 3015
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi
grohe-ondus-api-java:Grohe ONDUS API REST接口Java实现
04-12
grohe-ondus-api-java 这是一个用Java编写的库,可以与Grohe ONDUS API接口进行通信,例如,请求设备数据或发送命令。API参考Grohe ONDUS App使用的API未公开记录或发布。 该库的实现基本上基于对Grohe ONDUS Anroid...
JAVA HTTP反向代理实现过程详解
08-18
主要介绍了JAVA HTTP反向代理实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java实现反向代理程序(源码版)
11-22
使用Java编写的反向代理程序(源代码),通过简单的参数配置即可实现某些特定站点的反向代理,并在此过程中改变一些站点的特定行为。例如:允许特点站点跨域访问被代理的站点,或者屏蔽被代理站点识别请求访问客户端...
接口开发、springboot、接口转发、前端直接调用图床API时我们发现会报错,编写一个后端接口进行代理即可解决,已实现的例子
最新发布
02-27
前端直接调用图床API接口报错,利用后端接口进行文件转发实现接口反向代理 使用Spring Boot内置的`RestTemplate`来实现。以下是一个基于`RestTemplate`转发文件上传请求到目标服务的示例 主要运用了以下技术: 1. ...
一段万能的nginx接口实现反向代理配置
01-10
1、什么是代理服务器 代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数据,存放在代理服务器的硬盘中,再发送...
【测试笔记】接口测试
Zzzz__的博客
09-10 125
接口测试笔记(一)持续更新关于“接口测试”的面试问题
接口测试自动化测试入门-Http
qq_41663420的博客
03-15 99
关节接口的一个简单介绍
x-api接口鉴权架构设计和实现【万字+深度】
FeelTouch Labs
09-16 975
x-api鉴权API可以实现身份认证、流量控制等各个模块的校验,判断其请求的合法性等。
java反向认证接口_java-http-json接口认证与防篡改机制非侵入式实现
weixin_34676685的博客
02-28 172
一个好的代码,就是一次开发到处可用,开发者不用关注其细节,专心核心实现。奔着这个目标,有没有什么实现思路?那接下来,我不管你怎么想的,都听我的。在本场 Chat 中,会讲到如下内容:接口开发的固化与痛点怎么解决接口提供方痛点怎么解决接口调用方痛点java-http-json 接口 sdk 使用指南涉及技术:接口开发、装饰者模式 、自定义注解、反射、md5 加密、过滤器我们的目标接口提供方仅通过配置...
nginx反向代理接口
08-28
Nginx反向代理接口是一种将客户端请求从后端服务器转发给合适的上游服务器的方法。可以通过配置Nginx的反向代理来实现这一功能。根据提供的引用内容,可以使用shell命令行进行配置,也可以通过python或java代码集成实现。通过Nginx的反向代理,可以实现负载均衡、缓存、安全和性能优化等功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Nginx反向代理(解决纯前端项目部署到服务器上无法访问接口数据)](https://blog.csdn.net/weixin_50241387/article/details/124671514)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [shell配置nginx反向代理](https://download.csdn.net/download/ffcschenshw/86427914)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值