java app接口安全认证_Java生鲜电商平台-开放API接口签名验证(小程序/APP)

最新推荐文章于 2023-06-27 18:10:52 发布
最新推荐文章于 2023-06-27 18:10:52 发布
阅读量473 收藏 1
点赞数
文章标签: java app接口安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36210213/article/details/114124994
版权

Java生鲜电商平台-开放API接口签名验证(小程序/APP)

说明:在实际的生鲜业务中,不可避免的需要对外提供api接口给外部进行调用. 这里就有一个接口安全的问题需要沟通了。下面是干货:

接口安全问题

请求身份是否合法?

请求参数是否被篡改?

请求是否唯一?

AccessKey&SecretKey (开放平台)

请求身份

为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。

防止篡改

参数签名

按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA;

在stringA最后拼接上Secretkey得到字符串stringSignTemp;

对stringSignTemp进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值。

请求携带参数AccessKey和Sign,只有拥有合法的身份AccessKey和正确的签名Sign才能放行。这样就解决了身份验证和参数篡改问题,即使请求参数被劫持,由于获取不到SecretKey(仅作本地加密使用,不参与网络传输),无法伪造合法的请求。

重放攻击

虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。timestamp+nonce方案nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用(记录所有用过的nonce以阻止它们被二次使用)。然而,对服务器来说永久存储所有接收到的nonce的代价是非常大的。可以使用timestamp来优化nonce的存储。假设允许客户端和服务端最多能存在15分钟的时间差,同时追踪记录在服务端的nonce集合。当有新的请求进入时,首先检查携带的timestamp是否在15分钟内,如超出时间范围,则拒绝,然后查询携带的nonce,如存在已有集合,则拒绝。否则,记录该nonce,并删除集合内时间戳大于15分钟的nonce(可以使用redis的expire,新增nonce的同时设置它的超时失效时间为15分钟)。

实现

请求接口:http://api.test.com/test?name=hello&home&#

最低0.47元/天 解锁文章
陈大一
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java验证签名_简单API接口签名验证
weixin_42291186的博客
02-12 1557
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
java api安全验证_swagger添加权限验证保证API接口安全性(两种方法)
weixin_36317492的博客
02-23 1303
当我们使用swagger,进行接口测试,怕接口安全,担心暴露。可采用两种方式1.环境权限配置对swagger文档配置只在测试环境可访问,生产环境不可访问。@Profile({"dev","test"})如以上配置,则只有在dev以及test环境有效,在生产环境不可访问。2.账户权限配置在1.9.0版本时,针对Swagger的资源接口,SwaggerBootstrapUi提供了简单的Basic认证...
java接口鉴权
我的博客
08-25 2568
项目需要接口添加鉴权,选用token鉴权方式,后端与调用方使用相同的加密算法(key+method).md5作为token------参考demo
开放接口鉴权
cmq591117730的博客
11-24 3127
在做开放接口安全管理的时候先要想明白几点,为什么要做安全,有哪些地方要做安全 1.数据加密是否有必要 攻击者利用网络监听或其他方式截取A发送给B的报文,并把由A加密的报文发送给B,使B误以为入侵者就是A,然后主机B向伪装成A的攻击者发送应当发送给A的报文,调用方将调用方身份信息和密码通过明文的方式传递过来,这个过程会被第三方截取获取到appKey和password,第三方可以根据获取到的信息伪装成已认证的调用方去调用服务方服务获取接口信息,对服务方服务的稳定性、安全性造成威胁。这就是“重放攻击”
接口鉴权认证
yangzhe19931117的博客
12-06 370
接口鉴权认证
电商服务平台源码BusinessApp20180305_APP_app源码_电商服务平台源码_电商平台_电商平台源码_
09-29
本文将深入探讨“电商服务平台源码BusinessApp20180305”,揭示其背后的技术架构、核心功能及实现原理,帮助你理解和构建自己的电商平台。 一、电商平台源码概述 电商服务平台源码BusinessApp20180305是为开发者...
基于JAVA开发的电商类小程序APP
06-16
【标题】基于JAVA开发的电商类小程序APP 在IT行业中,Java是一种广泛使用的编程语言,尤其在企业级应用开发中占据重要地位。本项目“基于JAVA开发的电商类小程序APP”是一个利用Java技术栈构建的移动端应用程序,专...
java开发的家教电商平台小程序
最新发布
03-29
Java开发的家教电商平台小程序是一种基于Java技术构建的在线教育平台,主要服务于寻找家教的家长和提供家教服务的教师。在这个小程序中,用户可以方便地浏览、筛选和预约合适的家教,实现教育资源的高效匹配。下面...
基于微信小程序图书管理系统app设计【客户端+java服务接口+mysql数据库】
09-09
api接口采用技术: SSM框架(SpringMVC + Spring + Mybatis) 客户端开发工具:微信开发者工具 基于微信小程序图书管理app技术要点: 1 此系统web端接口采用java语言和ssm框架实现 2 客户端和服务器通信数据,采用...
applet-Dev2018-12-19.rar_小程序 电商_电商_电商 小程序_电商小程序
09-23
"小程序 电商_电商_电商 小程序_电商小程序"的部分重复强调了电商领域的小程序应用,意味着这个压缩包包含的内容是针对电子商务的微信小程序开发。 【描述解析】 描述中提到“一个电商小程序,大家可以下下来试下。...
java API接口签名授权安全认证问题
xulong5000的专栏
08-31 1744
1:使用开源的jar包 API-Signed: 一个轻松实现API签名校验的库。 (gitee.com) 本地下载源码:E:\JavaCode\java-API签名校验 2:该jar 包操作说明 本仓库包含以下内容: 签名校验的源码 基于Spring boot的web示例 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。 该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。 同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。
Java第三方接口鉴权(springboot + 腾讯开放平台
小码农吗
03-01 2718
再次谈起接口鉴权,大家工作中应该有遇到过给你的接口添加验证。 当我们还没有专门做第三方对接权限管理模块团队的情况下。往往是在负责人与第三方沟通下,通过一些加密算法及公钥秘钥验证直接操作的。 今天我们来介绍一个 “腾讯开放平台”的签名算法工具类 搞笑一堂 例如1: > A:我是张三,我来查询资料。 > B:你真的是的吗?你所提供的秘钥怎么不匹配? > A:我。。。 > // 终止资料查询 例如2: > A:我是张三,我来查询资料。 > B:你好,张三。我已核查你的.
HTTP接口签名校验
weixin_38370441的博客
08-31 1160
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
java http监控_java健康监控配置和实现
weixin_35430535的博客
02-21 351
健康监控简述Spring Boot 中actuator模块提供了健康检查,审计、指标收集,HTTP跟踪等功能,可以帮助我们更好的管理和跟踪springboot项目。健康监控配置实现在需要使用健康监控的项目或module中,添加如下依赖:org.springframework.bootspring-boot-starter-actuator添加完依赖以后,reload项目或module。健康监控启动...
java api安全机制
yushan125的博客
03-23 958
java api安全机制
java 接口 安全加密_Java安全性,第1部分:加密基础知识
cusi77914的博客
07-01 1121
关于本教程 本教程是关于什么的? 也许没有比应用程序安全更重要的软件工程主题。 攻击是昂贵的,无论是来自内部还是外部,而且某些攻击可能会使软件公司承担赔偿责任。 随着计算机(尤其是Internet)技术的发展,安全攻击变得越来越复杂和频繁。 掌握最新技术和工具是应用程序安全的关键之一。 另一个是成熟的技术的坚实基础,例如数据加密,身份验证和授权。 Java平台(包括基本语言和库扩展...
Java对接C#的RSA加密http接口,C#提供公钥给JavaJava通过公钥去调用C#的http(post)接口
qq_28646679的博客
04-22 719
C#方提供的接口文档: 1.5.2 签名方法 调用API时,需要将所有参数名称以及参数值加入签名,即:系统级参数(除去sign)名称、系统级参数值、应用级参数名称、应用级参数值全部加入签名。 I.签名参数串排序 签名时,根据参数名称,将除签名(sign)外所有请求参数按照字母先后顺序排序: key + value .... key + value 。 注: 1、排序若首字母相同,则对第...
破解java层的签名校验
武天旭的博客
10-03 1169
一、破解java层的签名校验 做为Android开发者,我们应该知道没有签名的Apk是无法在真机(模拟器)上安装运行的。为了防止自己开发的Apk被别人二次打包,有些开发者会在App运行时获取当前Apk的签名信息并与正版Apk的签名信息进行比对,一旦发现不相同,就会弹出对话框提示用户当前应用是盗版或者终止App的运行,这就是Apk签名校验。
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
asfasfasgjkl的博客
06-27 983
第三方调用时 Nonce TimeStamp Signature 这三个参数有什么用?
/data/app/jdk1.8.0_201/bin/java: 权限不够
09-26
该错误提示"/data/app/jdk1.8.0_201/bin/java: 权限不够"意味着您没有足够的权限来执行该文件。为了解决这个问题,您可以尝试以下方法之一: 1. 确保您具有执行该文件的权限。您可以使用命令`chmod +x /data/app/jdk...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值