接口加签方案

最新推荐文章于 2024-07-26 09:00:00 发布
最新推荐文章于 2024-07-26 09:00:00 发布
阅读量1.1k 收藏
点赞数
文章标签: java 数据库 python
原文链接:https://my.oschina.net/ffse54s/blog/3045941
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

场景:外部系统需要直接通过http方式调用内部系统的接口获取数据

方案:创建新的controller,将controller的映射地址配置在新建的interceptor(拦截器)中,使得拦截器能拦截到访问该controller的地址,在拦截器中做接口加签的合法性验证:

        //获取请求方的各种信息进行后续的验证使用

        url = acquireURL(request);
        timestamp = request.getHeader("X-Timestamp");
        nonce = request.getHeader("X-Nonce");
        appKey = request.getHeader("X-Appkey");
        signature = request.getHeader("X-Signature");
        body = acquireBody(request);

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        AuthEntity entity = new AuthEntity(request);
        LOGGER.info("验签字符串:" + entity.toString());
        if (checkRequired(entity)//验证必填字段非空
                && checkTimestamp(entity.getTimestamp())//request header中传输的时间戳,用于验证发起的接口是否已经过期,和系统当前时间比较后得出,暂时是超过1小时算过期
                && checkNonce(entity.getNonce())//request header中传输的UUID,防止接口重复调用,从redis中获取该值是否为null来判断是否重复提交
                && SignatureUtil.checkSignature(entity)) {//根据头标签所有属性和报文内容再加密钥生成签名判断报文内容是否被篡改
            redisTemplate.opsForValue().set(entity.getNonce(), "1", EXPIRE_TIME+5, TimeUnit.SECONDS);//使用redis保存UUID并设置过期时间
            return true;
        }
        response.setStatus(401); // Unauthorized
        return false;
    }

签名生成方法:

    private static String generateSignature(String data, String secret) {
        byte[] result = null;
        try {
            SecretKeySpec signinKey = new SecretKeySpec(secret.getBytes("utf-8"), HMAC_SHA1_ALGORITHM);
            Mac mac = Mac.getInstance(HMAC_SHA1_ALGORITHM);
            mac.init(signinKey);
            byte[] rawHmac = mac.doFinal(data.getBytes("utf-8"));
            result = Base64.encodeBase64(rawHmac);
            return new String(result,"utf-8");
        } catch (InvalidKeyException | NoSuchAlgorithmException | UnsupportedEncodingException e) {
            LOGGER.error(e.toString());
        }
        return null;
    }

转载于:https://my.oschina.net/ffse54s/blog/3045941

weixin_34247032
关注
安全对外的接口--加签验签
Meiko记录
10-09 1507
前言 我们在求职面试中,经常会被问到,如何设计一个安全对外的接口呢? 其实可以回答这一点,加签和验签,这将让你的接口更加有安全。接下来,本文将和大家一起来学习加签和验签。从理论到实战,加油哦~ 密码学相关概念 加签验签概念 为什么需要加签、验签 加密算法简介 加签验签相关API 加签验签代码实现 公众号:捡田螺的小男孩 本文已经收录到个人github,文章有用的话,可以给个star呀: github.com/whx123/Java… 密码学相关概念 明文、密文、密钥、加密、解密
交通银行“慧智付” 接口文档及加签方法
04-08
"交通银行‘慧智付’接口文档及加签方法"主要涉及的是银行支付接口的集成技术,特别是针对交通银行的一项支付服务。这项服务允许商家通过编程接口与交通银行的支付系统进行交互,实现主扫(消费者扫描商家二维码支付...
跨境电商海关加签
04-08
跨境电商海关加签,需要插卡,不要用法人卡,用操作员卡
Java接口加签实践
SeeYouAgain的博客
04-12 645
许多业务系统,在对接诸如支付、银行等类型接口时,接口双方为了确保数据参数在传输过程中未经篡改,需要对接口数据进行加签和验签,确保两个签名是一样的,通过验签之后才能进行业务逻辑处理。本文分享常用的三种加密方式,并演示一个加签示例。 一、封装工具类 ①Base64工具类 public class Base64Utils { /** * Base64加密 * @param str * @return */ public static Strin...
十种接口安全方案!!!
最新发布
m0_61869253的博客
07-26 633
日常开发中,如何保证接口数据的安全性呢?接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。介绍下保证接口数据安全的10个方案。数据加签:用Hash算法(如MD5,或者SHA-256)把原始请求参数生成报文摘要,然后用私钥对这个摘要进行加密,就得到这个报文对应的数字签名sign(这个过程就是加签通常来说呢,请求方会把数字签名和报文原文一并发送给接收方。![图片](https://img-验签。
谈谈HTTPS演变过程
weiwenhou的博客
10-02 304
前言本文谈谈HTTPS设计演变过程,希望对大家理解HTTPS有帮助,有不对的地方欢迎指出。密码学基础知识在讨论HTTPS之前,需要掌握一些密码学基础概念。明文、密文、密钥...
对外接口签名生成方式
sql2008help的博客
07-31 836
当某个系统对外部系统提供接口访问时,为提高接口请求安全性,往往会在接口访问时添加签名,当外部系统访问本系统签名验证成功时才能正常返回数据,一般接口提供方会与外部系统提前约定好,不同外部系统用 appKey 加以区分,并且不同 appKey 对应不同秘钥(secretKey)
【项目】API接口加签和验签
雨下一整晚real的博客
09-10 4133
接口的安全性,和网络是分不开的。所以大多数情况下,还是需要考虑网络环境的安全性。提到的解决方案,也有很多思想借鉴于网络协议。API接口入门(二):API接口的签名验签和加解密原理API 接口签名验签_新猿一马的博客-CSDN博客_接口签名。
Java Http接口加签、验签操作方法
09-01
Java Http接口加签、验签操作是网络安全中常见的方法,用于确保数据在传输过程中未被篡改,保证接口调用的可靠性和安全性。在电商、支付等敏感业务中,这种做法尤为重要。 1. 业务背景 在处理电商或支付类接口时,...
apksigner加签工具
05-31
`apksigner`工具的使用非常简单,主要通过命令行接口执行。以下是一些基本的命令示例: - **生成签名密钥对**: ``` keytool -genkeypair -v -keystore my-release-key.keystore -alias alias_name -keyalg RSA -...
Python3.7基于hashlib和Crypto实现加签验签功能(实例代码)
09-18
总的来说,Python3.7结合`hashlib`和`Crypto`库提供了一套强大的加签验签解决方案,适用于各种需要数据安全保障的场景。通过深入理解这些库的用法,开发者可以更好地保护自己的应用程序和用户的数据安全。在实践中,...
系列学习互联网安全架构第 8 篇 —— API 接口加签名(验签)
流放深圳
06-06 994
通过学习之前的博客: API 接口安全设计:https://blog.csdn.net/BiandanLoveyou/article/details/117487626 信息加密技术(对称加密、非对称加密):https://blog.csdn.net/BiandanLoveyou/article/details/117524716 现在我们来讲解 API 接口加签名的内容。不像网上讲解的那种那么难理解,不用那么复杂。 如何保证 API 接口的安全性,一般来说,解决办法有以下几种: 1、...
https和接口签名、api接口安全
weixin_38991146的博客
10-19 254
为什么有了https 还需要做签名验证? 签名的作用 如果只用签名 不用https 密钥泄露怎么办 本文链接: https://blog.kfzsy.com/https-sign.html
程序员必备基础:加签验签
daobuxinzi的博客
10-10 2324
A公司这边的商户,发起转账时,A公司先用C公司的公钥,对请求报文加密,加密报文到达C公司的转账系统时,C公司就用自己的私钥把报文揭开。假设在加密的报文在传输过程中,被中间人Actor获取了,他也郁闷,因为他没有私钥,看着天鹅肉,又吃不了。本来想修改报文,给自己账号转一个亿的,哈哈。A在发起转账时,用Actor的公钥,对请求报文加密,加密报文到在传输过程,Actor又截取了,这时候,他用自己的私钥解密,然后修改了报文(给自己转一个亿),再用C的公钥加密,发给C公司,C公司收到报文后,继续用自己的私钥解密。
javajava接口安全之接口签名
YuChen
11-28 3148
自定义的接口签名解签工具类
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9424
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1589
接口加密知识科普
(一)关于网络传输中的加密和加签的问题
程序员XW
10-23 8735
开发中经常会存在不同系统之间的数据共享,那么通过接口方式传输数据就是一件很方便的方式了。现在还有很多公司是用的http传输的数据,那么数据是不安全的存在着数据在传输过程中发生泄漏的风险,所以现在数据传输常用的就是加密和加签方式来保证数据的安全。 加密和加签中用到了非对称性加密(RSA),而非对称性加密需要两个秘钥来进行加密和解密,这两个秘钥是公钥(publickey)和私钥(privateke
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值