java api方法摘要_【Java】API参数如何进行摘要签名验证的?

最新推荐文章于 2023-08-24 16:19:59 发布
最新推荐文章于 2023-08-24 16:19:59 发布
阅读量352 收藏
点赞数
文章标签: java api方法摘要
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29421409/article/details/114859498
版权

假设A开发了一系列API,要求调用这些API的调用者对调用参数进行签名,然后A在后台对每个请求的签名进行验证。

假设B要调用这些API,首先需要将参数序列化为json,然后对json string进行md5算法运算,得到签名sig

A收到B调用api的request,取出参数,记性呢md5运算,然后和sig对比。但是A取出的参数json string需要和B当时得到的一致。

可是由于json序列化可能导致json各kv对的顺序变化,这种一致性就难以保证。

另一种方法是从request请求中将字节读出来,直接用md5对字节流进行运算处理。不过这样的话,一般这个动作发生在interceptor中,字节读出来后怎么放回去让接下来的Controller读到参数呢?这又是问题。

回答

不需要对所有请求参数进行签名啊。kong网关的hmac-auth插件认证流程,感觉挺符合你的要求。他的思路是分发一个username和secret给调用者,然后调用者需要附加一些特定的请求头,并指定一个摘要方法(这个方法名称也会在header中体现)把这些请求头用密钥签名,服务器拿到请求后,根据username去查找对应的secret,并对请求的签名进行验证。

简述一下kong hmac-auth的流程

分发 username 和 secret给第三方应用

第三方请求你的api 资源,例:

POST http://example.com/restapi

构造需要签名的字符串(可以指定任何格式的字符串,只要是需要签名的字符串对双方都可见),如"", 如"date: Fri, 20 Sep 2019 22:10:02 GMT\nPOST /restapi HTTP/1.1"(使用date可以防重放攻击,统一使用gmt-0市时区)

指定签名方法,如hmac-sha1,使用分发的密钥对上述字符串提取摘要digest,并使用Base64进行转义为最终的base64_digest

signing_string="date: Fri, 20 Sep 2019 22:10:02 GMT\nPOST /restapi HTTP/1.1"

digest=HMAC-SHA1(, "secret")

base64_digest=base64()

调用方构建请求头,格式如下

curl -X POST http://example.com/restapi

-H 'Date: Fri, 20 Sep 2019 22:10:02 GMT'

-H 'Authorization: username= algorithm="hmac-sha1" signature=""'

-d '{...}'

服务器使用JAVA代码重复上面过程进行签名, 如果请求的date对比服务器时间在允许的误差内,比如说5秒内,则进行签名验证,如果大于5秒直接报错。根据请求的username在数据库中查找secret, 以同样的流程进行签名认证

1、一般是根据参数名称的ASCII码表的顺序排序,将排序好的参数名和参数值拼装在一起,然后使用MD5或者HMAC算法来签名sign

2、字节读出来后怎么放回去?–> 如果是使用spring mvc的话,用ContentCachingRequestWrapper就可以

侯明昊Neo
关注
java 摘要认证实现_摘要认证
weixin_36211712的博客
02-13 1936
摘要认证(digest authentication)摘要认证(Digest authentication)用来提供比基础认证更高级别的安全。在RFC2617中有关于它的描述,摘要认证是一种基于挑战-应答模式的认证模型。摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证...
java验证签名_简单API接口签名验证
weixin_42291186的博客
02-12 1589
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 3142
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
java参数签名实现
beiduofen2011的专栏
06-02 1201
sss
http摘要认证 java,Java客户端程序使用HttpClient API发送摘要身份验证请求
weixin_42412250的博客
02-15 219
I have restlet sample client program which sends the digest request. Similar to this I need java client program which sends a digest request using HttpClient api.Can anybody send me sample code. Thank...
手把手带你实战 java.security框架之签名、加密、摘要及证书
石杉的架构笔记
02-07 591
长按扫描上方二维码了解前言和前端进行数据交互时或者和第三方商家对接时,需要对隐私数据进行加密。单向加密,对称加密,非对称加密,其对应的算法也各式各样。java提供了统一的框架来规范(jav...
JAVA_API1.6文档(中文)
04-12
本文档是 Java 2 Platform Standard Edition 6.0 的 API 规范。 请参见: 描述 Java 2 Platform 软件包 java.applet 提供创建 applet 所必需的类和 applet 用来与其 applet 上下文通信的类。 java.awt 包含...
数字签名、数字证书分析与Java实现.rar_java 签名 证书_数字签名 rsa_证书_证书解密_证书验证
09-23
在IT领域,数字签名和数字证书...综上所述,数字签名和数字证书是保障网络通信安全的关键技术,Java提供了丰富的API支持这些操作的实现。在实际应用中,理解并正确使用这些概念和工具对于构建安全的网络系统至关重要。
基于Java语言的API接口签名验证与数据安全设计源码
最新发布
10-02
该项目是一款基于Java语言的API接口签名验证与数据安全设计方案源码,包含114个文件,涵盖97个Java源文件、10个XML配置文件、以及其他多种类型文件,旨在有效解决API接口的数据安全问题。
java api接口签名验证失败_简单API接口签名验证
weixin_42371226的博客
02-23 4352
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
摘要签名认证方式
m0_75128835的博客
11-25 617
摘要签名认证方式。
Java 使用HttpURLConnection 访问 Digest Auth 摘要验证接口
Riteny的博客
08-24 765
网上查阅相关资料后,使用现有框架,可以做到使用Digest Auth授权访问,但是做不到不断读取长连接推送的数据。而使用HttpURLConnection 可以做到不断读取长连接推送的数据,但没有现成的资料可以直接做到Digest Auth ,所以只能自己计算相关的校验数据和编写校验方法。最近遇到一个需求,需要打开一个受Digest Auth 保护的Api接口,然后保持长连接,不断接收流里面的数据。特此发下下相关的代码作为记录,也希望可以帮到其他有需要的人。需要导入一个包,用于MD5摘要
http摘要认证 java_java – 使用HttpURLConnection在Android中进行摘要式身份验证
weixin_39825045的博客
02-15 417
正如问题所说,我正在尝试在android中进行摘要身份验证.到目前为止,我已经使用了DefaultHttpClient及其身份验证方法(使用UsernamePasswordCredentials等),但自Android 5以来已弃用,并将在Android 6中删除.所以我即将从DefaultHttpClient切换到HttpUrlConnection.现在我正在尝试实现摘要式身份验证,这应该非常简...
摘要认证 java_摘要认证及实现HTTP digest authentication
weixin_36029647的博客
02-21 1601
最近工作需要做了摘要认证(digest authentication),下面就工作中遇到的问题及过程做一个总结。第一次客户端请求GET/POST服务器产生一个随机数nonce,服务器将这个随机数放在WWW-Authenticate响应头,与服务器支持的认证算法列表,认证的域realm一起发送给客户端,如下例子:HTTP /1.1 401 UnauthorizedWWW-Authenticate:D...
java http 摘要认证_Httpclient处理摘要认证
weixin_28884213的博客
02-12 377
虽然摘要认证的安全性比BASIC认证提高了不少,但是从接口调用上来看,并不比BASIC认证复杂,而且Realm和Scheme参数都可以为空,这时候就和BASIC认证调用方式一模一样了。importjava.net.URI;importorg.apache.http.auth.AuthScope;importorg.apache.http.auth.UsernamePasswordCrede...
java加密和摘要生成的API详解
08-24 81
http://www.cnblogs.com/Mozier/articles/159828.html
Rest API: 基本认证摘要认证
威尼斯的泪
01-21 1082
用spring security实现Rest API的基本认证(Basic)和摘要认证(Digest): Basic 认证 1. server - spring security配置 package com.pechen.config; import org.springframework.beans.factory.annotation.Autowired; import org.s...
java http 摘要认证_为一个REST服务使用Spring Security的基本和摘要认证
weixin_31919471的博客
03-04 166
1. 简介这篇文章讨论的是如何在一个相同URI结构的REST API上使用基础和摘要式的认证。在一篇从前的文章里,我们讨论了另一种保护REST服务的方法----表单为基础的认证,但是基础的和摘要式的认证是另一个更自然的方式,也是更RESTful的一种。2. 基础认证的配置表单为基础的认证不是RESTful服务的一个合适认证方式的主要原因是Spring Security将会使用Sessions --...
java http 摘要认证_HTTP 基本认证&摘要认证java方式具体实现get请求)
weixin_42551967的博客
02-12 486
maps = new HashMap();try {URI serverURI = new URI(url);CredentialsProvider credsProvider = new BasicCredentialsProvider();credsProvider.setCredentials(new AuthScope("192.168.201.210", 8080),new Userna...
Java API编程指南:加密与安全操作
手册详细阐述了如何使用这些API进行加密、解密、验证签名等操作,适用于在金融或信息安全领域进行开发的人员。" 这篇编程手册详细介绍了基于密钥名称的一系列API函数,这些函数主要用于在Java环境中与加密平台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值