api postmain 鉴权_API 接口鉴权规范

最新推荐文章于 2024-04-15 08:50:55 发布
最新推荐文章于 2024-04-15 08:50:55 发布
阅读量143 收藏
点赞数
文章标签: api postmain 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39539733/article/details/111483574
版权

设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等)

Api 接口鉴权规范-1.0-md5签名

Api 登录,采用Auth鉴权方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数:

1. Epay-Auth-User-Id 用户Id

2. Epay-Auth-Timestamp 请求时客户端时间错,以此设置过期时间

3. Epay-Auth-Type 授权类型(AUTH_BASE[无需登录]/AUTH_USER)

4. Epay-Auth-Sign 客户端根据签名规则生成的加密串

5. appSecret(该字段不在Http header 传输,由客户端和服端约定好,版本一旦发布,不可更换)Api交互的通讯密钥,比如:“AWRDuwh!@!#!asd” 区分大小写

签名规则:

AUTH_BASE

MD5(SECRET_KEY + timestamp + userId + getToken(Long.parseLong(userId)))

AUTH_USER

MD5(SECRET_KEY + timestamp)

Api 接口鉴权规范-2.0-jwt-token

Api 登录,采用Auth鉴权方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数:

1. Epay-Auth-User-Id 用户Id

2. Epay-Auth-Timestamp 请求时客户端时间错,以此设置过期时间

3. Epay-Auth-Type 授权类型(AUTH_BASE[无需登录]/AUTH_USER)

4. Epay-Auth-Token 客户端根据签名规则生成的加密串

5. 登录成功之后服务端会返回token(jwt-token),AUTH_USER 所有请求都带着该token

6. 其他参数channel(ios/android...)/sys-version/sys-model/geo/deviceid/area

weixin_39539733
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
必学必备的几种接口鉴权方式
魏小言的博客
03-11 1846
比如,传输的参数是 “abc",传输的时候就变成了 “cde" ,位置偏移了三位。更近一步而言,在银行或涉及钱、个人信息等场景下,即使这样的接口成功通过 token 鉴权,但还会进行 个人确认额外的鉴权。每次进行交互时,接收方会按照接收到的参数按照相同的方式进行产出密钥,然后依据此字段进行比对,来核验数据是否被篡改、及请求是否非法、异常。数据进行交互时,会同时按照动态策略采用 ”长串“ 密钥的某一个部分作为 Sign 的密钥,进行 Sign 校验方式组织进行传输。当然在此基础上,也可以进行另外的改造。
API接口开发 dome源码 加密 鉴权验证
11-29
API接口开发中,安全是至关重要的。API接口通常是服务之间或者客户端与服务器之间的通信桥梁,因此必须确保数据传输的安全性、完整性和有效性。本文将深入探讨如何通过参数加密、超时处理、私钥验证以及HTTPS协议...
API 接口鉴权规范
XT4625的专栏
03-05 3761
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等) Api 接口鉴权规范-1.0-md5签名 Api 登录,采用Auth鉴权方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数: 1.Epay-Auth-User-Id 用户Id 2.Epay-Auth-Timestamp 请求时客户端时间错...
Web API接口鉴权方式
人间世
02-28 5439
介绍web API接口鉴权方式
Open API 授权&鉴权机制设计
最新发布
竹林幽深
04-15 408
基于 OAuth2 建设 Open API 平台授权机制,通过安全标准的方式授权给外部,保证部门应用数据的安全性。OAuth2 定义了4种授权方式,但目前只需要供客户端在后台调用即可,所以仅考虑凭证式授权方式。oauth2_registered_client:spring-security-oauth2-authorization-server 组件依赖的表,记录已注册了的客户端凭证。
接口测试中的Token鉴权Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
API签名鉴权设计
后面牵个人的博客
12-26 2805
API鉴权的作用:识别调用方身份,控制API的访问权限,进而保护平台数据的安全。
安卓鉴权方式的总结
leidashuaige的专栏
03-24 863
利用服务器端的session(会话)和浏览器端的cookie来实现前后端的认证,由于http请求时是无状态的,服务器正常情况下是不知道当前请求之前有没有来过, 这个时候我们如果要记录状态,就需要在服务器端创建一个会话(session),将同一个客户端的请求都维护在各自的会话中,每当请求到达服务器端的时候, 先去查一下该客户端有没有在服务器端创建session,如果有则已经认证成功了,否则就没有认证。收集生物识别数据:在进行生物识别鉴权之前,需要先收集用户的生物识别数据,例如指纹、面部、虹膜等。
API接口设计规范.docx
02-13
API 接口设计规范 API 接口设计规范是一组标准化的规则和约定,旨在规范 API 接口的开发和使用。该规范涵盖了 API 接口的设计、实现、测试和维护等方面,旨在提高 API 接口的质量、可维护性和可扩展性。 API 接口...
API市场网关鉴权java
11-16
在这个场景下,"API市场网关鉴权java"主要关注的是如何在Java环境下实现API的权限验证。下面将详细探讨API网关鉴权的相关知识点。 1. **API网关概念**:API网关是微服务架构中的核心组件,它作为一个单一的入口,...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
基于Java的面向REST API高性能认证鉴权框架设计源码
04-10
本项目是一个基于Java的面向REST API的高性能认证鉴权框架设计源码,共包含626个文件,其中包括227个Java文件、125个Markdown文件等。系统采用了Java、CSS、JavaScript、HTML和Kotlin等技术,为用户提供了一个功能...
最强-接口自动化测试总结,接口鉴权+加密与解密+数据库操作/断言...
分享测试知识
12-04 349
1、接口鉴权的多种方式1)后端接口鉴权常用方法cookie:携带身份信息请求认证之后的每次请求都携带cookie信息,cookie记录在请求头中token:携带身份信息请求认证之后的每次请求都携带token认证信息可能记录在请求头,可能记录在url参数中auth:每次请求携带用户的username和password,并对其信息加密oauth2(选修):携带身份信息请求认证服务端向指定回调地址回传code通过code获取token之后的请求信息都携带token。
简单的Java的token鉴权架构
Demon的博客
07-04 4153
简单的Java的token鉴权架构
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2495
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
实现接口访问的HMAC-SHA1签名算法
Json的知识梦工厂
10-13 3448
PHP交流群:294088839,Python交流群:652376983 public function index(){ $url = ''; $method = "POST"; $arr=C('yjs'); //第三方Id $arr['X-User-Id']='1'; //访问url路径后缀 $arr['path']=''; $url=$url.$arr['path'];
字节API鉴权方法
栗少的博客
08-03 1014
https://www.volcengine.com/docs/6561/107789
API开放接⼝设计之appId,appSecret,accessToken
weixin_43927639的博客
09-03 1331
API开放接⼝设计appId,appSecret,accessToken
spring api接口 鉴权
05-17
在Spring中实现API接口鉴权,一般可以通过以下步骤实现: 1. 定义一个拦截器,用于在请求到达Controller前进行鉴权。 2. 在拦截器中获取请求头中的认证信息,如Token或API Key等。 3. 在拦截器中进行认证,比如检查Token是否有效、API Key是否正确等。 4. 如果认证失败,拦截器可以直接返回错误信息;如果认证成功,可以放行请求,让请求继续到达Controller。 5. 在Controller中,可以通过注解方式限制只有通过鉴权的请求才能访问某些接口。 下面是一个简单的示例代码: ```java @Component public class AuthInterceptor implements HandlerInterceptor { @Autowired private AuthService authService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String authHeader = request.getHeader("Authorization"); if (authHeader != null && authHeader.startsWith("Bearer ")) { String authToken = authHeader.substring(7); if (authService.validateToken(authToken)) { return true; } } response.setStatus(HttpStatus.UNAUTHORIZED.value()); return false; } } @RestController @RequestMapping("/api") public class MyApiController { @GetMapping("/user") @PreAuthorize("hasAuthority('USER')") public ResponseEntity<User> getUser() { // implement the logic to retrieve user information } @GetMapping("/admin") @PreAuthorize("hasAuthority('ADMIN')") public ResponseEntity<Admin> getAdmin() { // implement the logic to retrieve admin information } } ``` 在上面的示例中,我们定义了一个拦截器`AuthInterceptor`,用于在请求到达Controller前进行鉴权。在拦截器中,我们获取了请求头中的Authorization信息,然后调用`authService.validateToken`方法进行验证。如果验证成功,就放行请求;如果验证失败,就返回401错误。 在Controller中,我们通过注解方式限制了只有具有`USER`或`ADMIN`权限的请求才能访问`/api/user`和`/api/admin`接口。这些权限可以通过Spring Security进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值