REST签名认证

最新推荐文章于 2022-03-14 10:37:28 发布
最新推荐文章于 2022-03-14 10:37:28 发布
阅读量154 收藏 1
点赞数

139 开放平台与应用之间以REST协议进行通讯,为了保证通信的安全性,开放平台加入签名认证机制。应用一旦创建,系统生成唯一并且不公开的secretkey,只有应用的拥有者和开放平台知道。因此,当应用请求开放平台时,把请求的参数以及开放平台分配的secretkey进行MD5 HASH生成sig,从而保证通信的安全。 

签名生成规则

  • 把所有的请求参数按照字典顺序进行排序;注意:请把参数的连接符'&'去掉;例如:c=3&a=1&b=2排序后为a=1b=2c=3;
  • 把排序后的字符串后面追加开放平台分配的secretkey;例如:secretkey=diwierwer2o45q4wer,则处理的串为:a=1b=2c=3diwierwer2o45q4wer;
  • 把附加secretkey的串进行md5运算,把计算后的值作为sig参数发送请求给开放平台服务器,例如:c=3&a=1&b=2&sig=3a74f18d8c2a8f25fd145fcb02dab671;

说明:计算sig时,不需要对任何参数进行urlencode,并且都是utf-8编码;但是,当发送请求时需要进行urlencode。 

应用示例

下面以请求users.getInfo方法作为例子,详细说明一下请求串的加密规则:

    • 根据方法的参数列表,以POST方式向139 REST开放平台服务器发送请求的详细参数信息:
api_key=36924e87ea34bde6f1600b579c1ab6a1&method=miop.users.getInfo&call_id=12320323243234&
session_key=4d7184b05da4891d709eed3c4dc337bf&v=1.0
    • 经过参数排序,并且附加secretkey以后为(假设secretkey:abcdefghi323423):
api_key=36924e87ea34bde6f1600b579c1ab6a1call_id=12320323243234method=miop.users.getInfo
session_key=4d7184b05da4891d709eed3c4dc337bfv=1.0abcdefghi323423
    • 把上面生成的排序串进行md5加密:
生成加密串:7f23f63099d564100baf336330035eb9
    • 把生成的加密串,作为sig参数以POST方式发送给开放平台服务器:
最终请求的参数为:api_key=36924e87ea34bde6f1600b579c1ab6a1&method=miop.users.getInfo&call_id=12320323243234&
session_key=4d7184b05da4891d709eed3c4dc337bf&v=1.0&sig=7f23f63099d564100baf336330035eb9
weixin_34137799
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
三、接口开发-REST接口安全之数字签名
qq_34609370的博客
07-08 909
为了保证http请求数据的安全性,防篡改性以及用于标示机构身份,防止伪造的接口请求。 一、MD5算Hash方式: 加密规则可以根据双方接口协商定义,示例如下: 1. 参数说明 接口协议中通常会提供一个 appKey作为唯一的标识。appSecret作为接入密钥。 例如: appkey=heheda appSecret=39ertfefdsg406c7c36592d42022aaecc(简单的可以是...
2016年4月20
xxoo00xx00的博客
04-26 3403
dorado7学习笔记var fromInvstMarginRateAdjTplEdit=view.get(‘#fromInvstMarginRateAdjTplEdit’); var entity=fromInvstMarginRateAdjTplEdit.get(‘entity’); var showInvstName=fromInvstMarginRateAdjTplEdit.getEle
restfull加签_REST签名认证
weixin_39630106的博客
01-17 163
139 开放平台与应用之间以REST协议进行通讯,为了保证通信的安全性,开放平台加入签名认证机制。应用一旦创建,系统生成唯一并且不公开的secretkey,只有应用的拥有者和开放平台知道。因此,当应用请求开放平台时,把请求的参数以及开放平台分配的secretkey进行MD5 HASH生成sig,从而保证通信的安全。签名生成规则把所有的请求参数按照字典顺序进行排序;注意:请把参数的连接符'&...
CPI系列 透传REST服务并获取令牌及签名
ABAP 技巧与实战
03-14 1307
一前言REST服务是目前接口调用最通用的方式,通用性似乎都超过了WEBSERVICE. 大部分的互联网公司都是用REST方式发布自己的服务. 并且通过https(加密), token(令牌...
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,...综上所述,这个"C# WEB API 安全认证源码 REST"为开发者提供了一个实践性的安全认证解决方案,涵盖了从数据库配置到身份验证中间件的多个方面,对于学习和理解Web API的安全性具有很高的价值。
Spring Boot使用AOP实现REST接口简易灵活的安全认证的方法
08-26
Spring Boot 使用 AOP 实现 REST 接口简易灵活的安全认证的方法 在本文中,我们将详细介绍如何使用 Spring Boot 和 AOP 实现 REST 接口简易灵化的安全认证。安全认证是保护 REST 接口的重要一环,通过使用 AOP,...
Advanced-REST-client_v3.1.9
01-18
- **请求头**: 用户可以自定义请求头,添加必要的认证信息、内容类型等,以模拟不同场景下的请求。 - **请求体**: 支持JSON、XML、文本等多种格式的数据输入,方便测试不同数据结构的API调用。 - **URL参数与查询...
springboot使用jwt保护RestApi接口.docx
07-14
JWT是一个轻量级的标准,允许在各方之间安全地传递信息,这些信息可以被验证并信任,因为它们是数字签名的。 JWT的主要应用场景是授权(Authorization)。在用户成功登录后,服务器会返回一个JWT,这个令牌包含了...
Django rest framework jwt的使用方法详解
09-18
Django Rest Framework JWT 是一种基于 JSON Web Token (JWT) 的认证和授权机制,适用于构建 RESTful API。JWT 是一种安全的、无状态的、令牌化的身份验证方式,它允许服务提供商在客户端和服务器之间传递经过签名的...
白话REST-识别真假REST
热门推荐
ugg的专栏
06-13 3万+
大家对REST的认识?         谈到REST大家的第一印象就是通过http协议的GET,POST,DELETE,PUT方法实现对url资源的CRUD(创建、读取、更新和删除)操作。比如http://www.aizher.com/c2/(读取)仍然保持为 [GET] http://www.aizher.com/c2/http://www.aizher.com/c2/create(创建)改为
百度推送REST API 签名组织方法
icyfox_bupt的专栏
08-31 4735
百度云推送应该是现在推送领域的后起之秀了,做的不错,但是问题在于REST API设计的太复杂了...尤其是那个签名验证方法 复杂就复杂吧,还不给提供做好的接口,只能用户自己去拼了... 虽然这个页面http://developer.baidu.com/wiki/index.php?title=docs/cplat/push/api中说的挺清楚的,还是会有一些误会,这里记录下来:
md5
lanxingxing的专栏
06-04 826
         // MD5加密函数        public static string MD5(String str)        {            MD5 md5 = new MD5CryptoServiceProvider();            byte[] data = System.Text.Encoding.Default.GetBytes(str);      
REST认证 HMAC
dodomail的专栏
12-09 294
REST认证 我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑,就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API,然后服务器返回一个session ID,后续的操作客户端都必须带上这个session ID,但是这样的,服务就变成了有状态了,不...
REST接口安全认证方式对比:API Key vs OAuth令牌 vs JWT
王浩的技术博客
07-23 1万+
REST(Representational State Transfer)服务最初是作为一种极其简化的Web服务方法开始的。我们可以在纯文本文件中描述REST服务,并使用我们想要的任何消息格式,例如JSON,XML等。如果通过构建可以读取,写入和删除用户数据的API调用,使得API成为产品的强大扩展,几乎肯定是需要身份验证的。 下面我们将介绍三种流行的身份验证方法:API密钥,OAuth访问令牌...
三行代码加一个 md5 的 http api, OPener_Server 第 5 弹
weixin_34224941的博客
11-23 83
现实情况中,很多时候我们需要很多的 http api 供我们自己调用。而在很多编程语言中,已经存在了大量的相关函数,我们需要做的就是把这些函数包装到 opener_server 容器中,给这些函数提供 http 接口。 添加一个做 md5 运算的 http api 继续 jquey : var reg_url={'action':'reg...
RestFul接口的安全验证事例
allen的博客
02-23 1万+
这次要写一些restful的接口,在访问安全这一块最开始我想到用redis存储模拟session,客户端访问会带token过来模拟jsessionid,然后比对,但是这样会让token暴露在网络中,很不安全而且没有意义。其实可以用签名的方法来解决这个问题:首先:client开通服务的时候,server会给它创建authKey和一个token,authKey相当于是公钥可以暴露在网络中,token是私
md5加密代码_接口测试参数实现MD5加密签名规则
weixin_39533896的博客
12-04 465
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。...
获取文件的md5签名
xiangyunwan的专栏
02-17 884
/** * Get the md5 for the file. call getMD5(FileInputStream is, int bufLen) inside. * * @param file */ public static String getMD5(final File file) { if (file == null || !file.exists()) {
wp-rest-api jwt
最新发布
09-13
WP-REST-API 是WordPress 的一种接口,它通过提供标准化的RESTful API,允许开发人员使用HTTP请求来访问和操作WordPress站点的内容和数据。通过这个接口,开发人员可以使用不同的编程语言和技术来与WordPress进行交互,从而使得开发更加灵活和自由。 JWT(JSON Web Token)是一种用于认证和授权的开放标准。它通过将用户信息和权限信息编码成一种加密的令牌,以实现跨服务器和跨域的身份验证。JWT 是由三部分组成的:头部、负载和签名。头部包含令牌的加密算法和类型信息,负载包含用户的相关信息,签名用于验证令牌的真实性和完整性。 WP-REST-API JWT整合了WordPress的REST API和JWT的认证机制,使得在使用WP-REST-API进行开发的过程中,可以增加身份验证和授权的功能。它允许开发人员在请求WordPress REST API时,通过在请求头或参数中提供有效的JWT令牌来验证用户的身份和权限,并根据令牌中的负载信息来进行授权。 WP-REST-API JWT的使用具有很多优势。首先,它提供了一种轻量级的身份验证方式,减少了开发的复杂性。其次,通过JWT令牌的机制,可以实现无状态的认证和授权,提高了性能和可扩展性。此外,JWT还提供了一种可靠的机制来防止伪造和篡改请求数据,增强了系统的安全性。 总而言之,WP-REST-API JWT为开发人员提供了一种方便、灵活和安全的方式来使用WordPress的REST API。它简化了身份验证和授权的过程,并通过使用JWT令牌提高了系统的性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值