给第三方使用接口的 URL 签名实现

最新推荐文章于 2024-06-17 00:27:01 发布
最新推荐文章于 2024-06-17 00:27:01 发布
阅读量584 收藏
点赞数
文章标签: postman
原文链接:https://segmentfault.com/a/1190000018234972
版权
在开放给第三方使用的API中,如果让第三方携带明文的token请求服务,极有可能泄漏token。由于第三方身份验证服务器是依赖于token的,这样会造成不良的后果。为了提高通信的安全性,我们需要加密token,就是URL签名了。

实现URL的签名过程

  1. 生成URL签名的signature,假设第三方获取到token后,token=“aff9u87kkk444hjg”,openId=8996,将要调用的API路径是zithan.test/user/show,那么URL签名如下:
signature=md5('zithan.test/user/show?openId=8996&token=aff9u87kkk444hjg')
  1. 组合API的路径
zithan.test/user/show?openId=8996&signature=1aba61306711521e8b52ac2f46bb3ebf
  1. 但是现在还有一个问题,就是重放攻击,没有过期时间,假设非法者截获了这个API路径,就能反复调用这个路径。 改进方法是增加时间戳,增加API路径的时效性。
signature=md5('zithan.test/user/show?openId=8996&token=aff9u87kkk444hjg&timestamp=1550732083')
zithan.test/user/show?openId=8996&timestamp=1550732083&signature=cba2aa328577e6aab3e811517e1aa752

注意事项

  1. md5可以换成其他非对称加密的方法
  2. 在获取token那一个步骤也有可能泄露token,那么严谨就需要采取对称加密,进行数据加密。
  3. 因为增加了时间戳,那么就有可能导致第三方和服务器的差异性,那么就需要计算第三方的时间差,在验证签名或者生成签名的时候考虑进去。
weixin_33725515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.net ActionFilterAttribute 统一校验外部api签名 md5生成签名
qianjindll的博客
10-20 300
公共接口外部请求参数md5校验签名
python 接口实现第三方调用的例子
09-18
Python 提供了多种方式来实现接口,让第三方应用能够调用。本文将通过一个使用 Python 的 Bottle 框架构建简单 Web API 的例子,来阐述如何创建一个供第三方调用的接口。 首先,我们要了解什么是 Python 接口。在...
开放接口API安全性之签名验证【url签名算法】
weixiaohuai的博客
05-29 5663
一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口的安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程中有没有被注入攻击。这时候客户端
2024-某宝 手淘 x-sign, x-mini-wua参数脱机, unidbg生成加密参数
最新发布
weixin_44110940的博客
06-17 447
说明: 此代码仅供用于学习交流, 切勿用于非法用途。有需要的可以私信我学习交流。
Asp.net中接口签名与验签常用方法
weixin_30919235的博客
10-30 761
现在在程序开发中经常会用到第三方功能或数据,当我们调取第三方接口时,首先要做的就是要按照他们的规则进行验签通过后才可去使用。这也是出于安全方面的考虑,谁都不想自己的东西在网络中“裸奔”,哈哈。经常用的第三方如微信支付,第三方登录,支付宝支付等当然还有一些短信接口,身份验证接口等,而我们自己的程序对外开放时也会经常用到如自己写的Webapi接口等。下面就说一下常用的签名,验签的方式。 _appId...
ABP.net core调用第三方接口 接入方式
qq_31971935的博客
04-07 3149
1、在appsettings.json中配置第三方应用服务地址 “OtherServerConfig”: { “ApplicationServerUrl”: “http://192.168.199.111:8017”, //第三方应用服务地址 } 2、Startup.cs文件中配置 代码: services.AddHttpClient("OtherApplicationServer", c =...
常用API接口签名验证参考
dotNET跨平台
05-12 1970
项目中常用的API接口签名验证方法: 1. 给app分配对应的key、secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mr
第三方支付接口示例源码
11-05
这个“第三方支付接口示例源码”着重展示了如何使用Java后台来调用易宝支付(YeePay)的接口实现网上支付的功能。易宝支付作为国内知名的第三方支付平台,提供了多种支付解决方案,包括但不限于银行卡支付、快捷...
Android实现使用微信登录第三方APP的方法
09-01
在Android平台上,集成微信登录功能可以让用户通过他们的微信账号便捷地登录第三方应用程序,省去了注册新账户的过程。本文将详细讲解如何实现这一功能,包括必要的准备步骤和代码实现。 首先,你需要在微信开放...
第三方登入,QQ登入后端
12-20
在IT行业中,第三方登录是一种常见的用户身份验证方式,它允许用户使用已经在其他知名服务(如QQ、微信、微博等)上注册过的账号来登录新应用,而无需创建新的账号和密码。这种机制大大提升了用户体验,同时也降低了...
【servlet+jsp实现第三方支付,新手必备】
07-09
总的来说,这个项目旨在通过实践让学习者掌握Servlet和JSP结合使用处理第三方支付的流程,同时了解与第三方接口交互的基本方法。通过学习和实现这样的系统,开发者不仅可以提升技术能力,还能对电子商务和金融支付的...
python调用api应用接口_PRA10.3平台API接口调用
weixin_39761255的博客
11-20 446
适用版本适用于RPA10.3以及以上版本,RPA10.3及以下版本请参考: ==>点击前进接口API手册调用方式及注释,请参考论坛手册:http : //support.i-search.com.cn :8088/showdoc/web/#/73?page_id=20301.接口签名规则1.1标头API请求的标头中有appkey,时间戳,签名三个参数。appkey与服务端管理员联系获取(系统...
网络安全:URL签名验证的实现API防篡改
太阳的味道
02-20 1073
我们在做APP开发的时候,APP的网络安全是极其重要,我们有必要对请求的API进行加密和防篡改。HTTPS是一个很好的传输加密的方式。如果APP的请求API地址和参数被泄露,我们还是可能会被恶意请求。 所以我们有必要实现 URL签名,对请求的参数进行校验,在客户端生成URL签名,在服务端对签名进行校验,如果客户端的URL签名算法保密做得好,就可以避免非法请求,签名算法的加密需要使用 C++编写,这...
爱玩手机的猫git学习笔记(持续更新)
kkk777kk的博客
11-12 1029
1.git add 文件夹名/* :将该文件夹及文件夹中的所有内容(包括子文件夹)上传到暂存区
基于SpringMVC的网上订餐系统
微小白
12-04 1581
(1)网上订餐前端(2)网上订餐管理端系统开发的技术(Javaweb技术、Spring、jsp页面、MVC模式)以及使用的工具(Eclipse集成开发工具、MySQL数据库)等基础知识;用户: ① 用户注册 ② 用户登录 ③ 菜品浏览 ④ 菜品订购 ⑤ 菜品查询 ⑥ 订单修改 ⑦ 修改密码 ⑧ 修改个人信息 管理员: ① 用户信息管理 ② 销售订单管理 ③ 系统用户管理 ④ 菜单管理 ⑤ 菜单类别管理 ⑥ 公告发布管理三、系统截图
URL含特殊字符,微信JS-SDK接口config时报invalid signature签名错误
在这里写Bug
11-21 9509
微信JS-SDK接口config时报invalid signature签名错误,经过排查,可以肯定是当前url地址传得有问题。因为项目需要,我们的url是带参数的:         http://www.plusonego.com:8089/FeProjectGZ/attendance?department_id=2&position_id=3&project_id=11&userid=yuji
第三方接口联调(加解密与签名验签)
thlzjfefe的博客
03-13 2706
工作中经常有和第三方机构联调接口的事情,顾将用到过的做以记录。 在和第三方联调时,主要步骤为:网络、加解密/签名验签、接口数据等,其中接口数据没啥好说的。 在联调前就需要先将两边的网络连通,一般公司的生产环境都加了防火墙,测试环境有的是有防火墙,有的则没有防火墙,这个需要和第三方人员沟通,如果有防火墙的就需要将我们的出口ip或域名发送给第三方做配置,配置了之后网络一般都是通的。 加解密与签名验签: 一般第三方公司都会有加解密或签名验签的,毕竟为了数据安全。一般就是三...
如何调用第三方支付接口
06-03
4.发送请求:使用HTTP或HTTPS协议向支付接口URL发送请求,同时将签名和请求参数发送给支付提供商。 5.处理支付结果:支付提供商会返回支付结果,商户需要根据支付结果进行相应的业务处理,例如更新订单状态、发送...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值