基于HMAC-SHA1的RESTful API 授权签名方法

最新推荐文章于 2021-03-31 23:56:36 发布
最新推荐文章于 2021-03-31 23:56:36 发布
阅读量774 收藏 1
点赞数 1
文章标签: 运维 php json
原文链接:https://juejin.im/post/5a61f3d06fb9a01cc12269af
版权

首发于fxm5547的博客

引言

为了避免API被非法调用,调用过程中被篡改和重放攻击,需要增加API调用授权。对调用信息进行签名和验签是常用的授权方法。调用双方约定秘钥并内部存放,利用秘钥基于hash算法(常用的有MD5,SHA1和SHA256)通过HMAC运算生产签名signature。

参考

传递方式

  • 通过header传递,格式:Authorization: CoAPI-HMAC-SHA1 $sign
  • 同时传递header X-Co-TimeStamp,格式:X-Co-TimeStamp: 1493030704

签名过程

$sign = base64(hmac-sha1(SecretKey,
            HTTPRequestMethod + "\n"
            + CanonicalURI + "\n"
            + CanonicalQueryString + "\n"
            + CanonicalHeaders + "\n"
            + CanonicalBody))
复制代码
  • SecretKey 表示签名所需的密钥,服务端存储不传递;
  • HTTPRequestMethod 表示HTTP 请求的Method,主要有GET,POST,PUT,DELETE, HEAD,OPTION等,使用大写;
  • \n表示换行符;
  • CanonicalURI 表示格式化后的请求URI=Host + pathpath使用/开头(即使后面为空)。例子:api.url.com/shop/v1/goods/9642
  • CanonicalQueryString 表示格式化后的请求参数字符串,可为空。对请求参数按照key的字典序排列(PHP的ksort())后,进行以下拼接
CanonicalQueryString = (key1=urlEncode(val1)&key2=urlEncode(val2)...)
复制代码

urlEncode指遵循RFC 3986的URL Encode(PHP中的rawurlencode())。

  • CanonicalHeaders 表示格式化后的Headers,只使用X-Co-AppX-Co-TimeStamp
CanonicalHeaders = lower("X-Co-App") + ':' + trim(HeaderValue) + "\n"
                   + lower("X-Co-TimeStamp") + ':' + trim(HeaderValue)
复制代码

lower()表示转换为小写,trim()表示去除前后空格。

  • CanonicalBody 表示格式后的Body,可为空。API的Body都是Json,对Json的第一层元素按照key的字典序排列(PHP的ksort())后,进行以下拼接
CanonicalBody = (key1=val1&kay2=val2...)
复制代码

如果value是对象或数组,对其进行json encode。

签名验证失败

  • 如果Header中的X-Co-TimeStamp和服务器的时间差15分钟以上,拒绝该服务,并返回InvalidSign 签名已过期错误;
  • 签名错误,拒绝该服务,并返回InvalidSign 签名校验错误错误。
weixin_34281477
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HMAC-SHA1签名认证算法
daiyudong2020的博客
07-03 3万+
HMAC-SHA1HMAC是哈希运算消息认证码 (Hash-based Message Authentication Code),HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。HMAC-SHA1签名算法是一种常用的签名算法,用于对一段信息进行生成签名摘要。 生成一个随机秘钥(python范例): #coding:utf-8 from Crypt
HMAC-SHA1 算法签名 亲测可用
08-17
目前很多应用的SDK都开始需要Authorization(鉴权),然网络浩瀚,杂乱无章。终于找到了可用的方案,已为腾讯官方做了一个C#的SDK,大家放心copy。
使用HMAC-SHA1签名方法
weilee2009的专栏
09-13 8231
加密算法:     使用HMAC-SHA1签名方法 /** * @brief 使用HMAC-SHA1算法生成oauth_signature签名值 * * @param $key 密钥 * @param $str 源串 * * @return 签名值 */ function getSignature($
HMAC-SHA1 签名demo
02-20
附件为将制定的字符串进行Base64加密,然后对加密后的结果通过指定的key和value进行HMAC-SHA1签名,并将签名后的值赋值给sign,例如: encodeparam = Base64(approvestatus=1&channelid=dingding&doctorid=1&doctorname=张三医生&doctortel=13233322323&patientid=12&servertime=201602181454) sign= hmac_sha1(key,encodeparam)
python实现php签名,Python对PHP服务器hmac_sha1签名认证方法的匹配实现
weixin_39845220的博客
03-31 97
如果你写的PHP服务端API,在签名使用PHP的hash_hmac函数,并且使用了base64编码,如下: //HMAC-SHA1加密$hmac_sha1_str = base64_encode(hash_hmac("sha1", $string_to_sign, $secret_access_key));//编码URL$signature = urlencode($hmac_s...
详解Go-JWT-RESTful身份认证教程
09-18
头部通常是用于描述关于该JWT的最基本的信息,如其类型(即JWT),以及所使用签名算法(如HMAC SHA256或者RSA)。载荷部分则包含所传递的数据,例如用户的id、用户名和角色等信息。最后,通过使用头部中指定的算法...
Laravel开发-laravel-hmac-signature
08-28
7. **实际应用**:Laravel HMAC-SHA签名常用于API的身份验证,特别是在无状态的RESTful API设计中,它可以验证客户端发送的请求,并防止未经授权的修改。 在"laravel-hmac-signature-master"这个项目中,可能包含了...
node-restful-client:通用RESTful NodeJS客户端,用于与JSON API交互
05-02
通用RESTful NodeJS客户端通用的RESTful NodeJS客户端,用于与JSON API进行交互。用法要使用此客户端,您只需要导入ApiClient并使用API​​密钥... 'X-Authentication-Signature'-随机数的SHA256 HMAC签名使用创建Api
API签名验证
08-01
1. **创建签名**: 客户端在构建请求时,需要按照一定的顺序将请求参数(包括但不限于API密钥、请求方法、URL、请求体等)拼接成字符串,然后使用预设的加密算法(如HMAC-SHA256)和私钥进行哈希运算,得到的哈希值...
阿里云-开放搜索服务API参考手册.pdf
10-10
签名过程涉及到将请求参数按照特定顺序规范化,然后使用Access Key Secret进行HMAC-SHA1签名。 4. **请求与响应结构**:API调用返回JSON格式的结果,包含`status`字段表示请求是否成功。如果失败,会返回错误代码和...
hmac-sha1简单实现
11-10
收集了一些RFC2104和hmac-sha1实现的资料,欢迎童鞋们一起学习。
使用HMAC-SHA1签名方法详解
10-27
本篇文章是对使用HMAC-SHA1签名方法进行了详细的分析介绍,需要的朋友参考下
REST和认证 HMAC
dodomail的专栏
12-09 296
REST和认证 我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑,就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API,然后服务器返回一个session ID,后续的操作客户端都必须带上这个session ID,但是这样的,服务就变成了有状态了,不...
HMAC-SHA1各语言版本实现
热门推荐
梦里花
12-14 3万+
在各大开放平台大行其道的互联网开发潮流中,调用各平台的API接口过程中,无一例外都会用到计算签名值(sig值)。而在各种计算签名方法中,经常被采用的就是HMAC-SHA1,现对HMAC-SHA1做一个简单的介绍:         HMAC,散列消息鉴别码,基于密钥的Hash算法认证协议。实现原理为:利用已经公开的Hash函数和私有的密钥,来生成固定长度的消息鉴别码;         SHA1
C# HMAC Sha1 生成签字
闪电编码
08-21 3983
最近因为工作的需要,开始接触腾讯云,在调用CMQ服务时发现官方提供的SDK只有基于.Net Framework的,而现在做.net项目的谁不是用.net core啊。好吧,既然没有官方的SDK,只能自己写服务来调用Api了。遇到的第一个麻烦点的事情就是生成签名(Signature),这里有要记录一下的就是腾讯API生成签名所用的加密方法HMACSHA1,由于官方只有php的代码案例,所以查了查网络...
Http请求加密规则(3DES、Base64、HMAC SHA256
西雅图的风的博客
09-20 1万+
Http请求加密规则(3DES、Base64、HMAC SHA256) 如果使用了Https请求,那么大多数情况下就不再需要请求双方再制定一套加密规则了,所以本人讲述的是使用Http请求时,对于一些安全性较高的业务场景,需要对请求参数进行加密的实现方式。 首先总结一下http请求的密钥和参数加密规则,可以根据自己项目进行修改: -关键词解释: app-key和app-token:两个请求头...
AWS S3 V4签名实现(nodejs)
Andy Tools
03-14 1万+
虽然亚马逊提供了sdk,使用SDK会自动帮你计算签名。如果你能使用SDK 请一定使用SDK。 但是目标平台为嵌入式平台(非Linux)只支持C接口,很多库移植成本过高,为了使用S3服务,我们应该首选restfulAPI 这种方案。这就涉及到了自己实现AWS V4签名的问题。前排资料: 我们可以阅读AWS SDK(nodejs) 源码签名实现进行参考验证: aws-nodejs-sample\n
c#.net4.0 实现HMAC-SHA1加密算法
weixin_33805557的博客
06-23 1083
2019独角兽企业重金招聘Python工程师标准>>> ...
hmac-sha1解密命令
最新发布
06-07
HMAC-SHA1 是一种对称密钥加密算法,不是加密算法的一种,而是一种消息认证算法,它可以保证消息的完整性和真实性。因此,没有解密 HMAC-SHA1 的过程,只能进行验证。 如果你有一个 HMAC-SHA1 值和密钥,并想验证 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值