api 接口签名 验签

最新推荐文章于 2023-12-01 10:06:11 发布
最新推荐文章于 2023-12-01 10:06:11 发布
阅读量589 收藏 1
点赞数
分类专栏: php 文章标签: 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41793489/article/details/117063848
版权

开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。

我们在设计签名验证的时候,请注意要满足以下几点:

  • 时效性:每次请求的时效,过期作废等。
  • 唯一性:每次的签名是唯一的。
  • 完整性:能够对传入数据进行验证,防止篡改。

生成签名时需要设置一个密钥(secret),只有发送方,和接收方知道。

请求方:

将请求参数,签名sign除外,进行升序排列。然后转为字符串,按照双方约定的加密方式进行加密

 ksort($data);//对参数数组进行升序排列
 $json_str = json_encode($data, JSON_UNESCAPED_UNICODE);//转为字符串形式
 $busiContent = openssl_encrypt($json_str, 'des-ecb', $this->SecretKey);//加密

然后发送请求时加上签名sign参数

接收方:

1.验证参数中是否有签名

2.验证请求, 10分钟失效

3.验证签名是否正确。将参数去除接收到的参数去除sign后,根据双发规定好的sign签名生成规则重新生成签名,与接收到的签名进行对比,判断签名是否正确。

离阳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口安全设计之接口验签
xlj_bear的博客
04-02 479
最近接到一个需求,在海外客户还款之前,都是通过一个还款链接去还款,但是还款链接内没有任何的客户信息,所以需要还款之前,进入一个前置信息确认页面,就需要后端先提供一个查询接口给前端,但是需要参数明文传递给前端,其中包含订单号,金额及还款类型。在原本的请求链接不变的情况下,加一个sign参数,针对当前参数进行签名,在请求后端的时候,需要先验证签名,如果验签不通过,则直接返回error,否则认定参数没有被修改,继续生成还款链接。当请求到达后端之后,去查询当次请求的参数,然后去生成真实的还款链接给客户还款。
api接口签名
dghafq的博客
03-02 4585
前言       在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口...
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
轻松实现开放接口签名验签
最新发布
竹林幽深
12-01 757
开放接口是指不需要登录凭证就允许被第三方系统调用的接口,这个时候肯定要考虑接口数据的安全性问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题,为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。私钥和公钥直接保存在文件中spring:redis:port: 6379signature:key-pair:# 调用方IDtest-1:# 算法# 私钥# 公钥# 生效时间(分钟)自定义验签注解,控制哪些接口需要验签//允许重复请求。
API接口签名验证
qq_25046827的博客
03-01 4544
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
SpringBoot 接口签名校验实践
竹林幽深
10-26 826
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解/*** 该注解标注于Controller类的方法上,表明该请求的参数需要校验签名*//*** 提取所有的请求参数,按照固定规则拼接成一个字符串* @param body post请求的请求体* @param paramMap 路径参数(QueryString)。形如:name=zhangsan&age=18&label=A&label=B。
第三方接口联调(加解密与签名验签
thlzjfefe的博客
03-13 2672
工作中经常有和第三方机构联调接口的事情,顾将用到过的做以记录。 在和第三方联调时,主要步骤为:网络、加解密/签名验签接口数据等,其中接口数据没啥好说的。 在联调前就需要先将两边的网络连通,一般公司的生产环境都加了防火墙,测试环境有的是有防火墙,有的则没有防火墙,这个需要和第三方人员沟通,如果有防火墙的就需要将我们的出口ip或域名发送给第三方做配置,配置了之后网络一般都是通的。 加解密与签名验签: 一般第三方公司都会有加解密或签名验签的,毕竟为了数据安全。一般就是三...
api接口签名验证
liying15的博客
02-17 893
为了防止信息被篡改和伪造,保障通信对安全,在app对请求参数中常使用MD5、RSA、SHA等签名算法。下面以MD5为例学习一下: MD5参数签名 1、服务器和客户端约定一个salt (salt不参与通信,只要不泄漏,一般请求就不会被伪造) 2、按照指定顺序将所有参数排序,然后生成一个字符串 下面以一个简单对例子来讲解: 参数为:uid=12343546,noncse=8ec4560998,fro...
PHP开发API接口签名生成及验证操作示例
10-15
首先,API接口签名的主要目的是为了保证请求的完整性和不可伪造性。签名应具备以下特性: 1. 可变性:每次请求的签名应不同,以防止重复利用。 2. 时效性:签名应有有效期,过期后无效,增加安全性。 3. 唯一性:每...
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
Python-Api签名验证样例
08-10
Api签名验证样例
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7872
java sign签名认证
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 5334
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
Java接口验签
D____G的博客
04-28 1351
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、何为验签?二、处理思路三、java生成签名的工具类总结 前言 项目开发过程中,难免会接触到接口验签,下面是我个人对验签的一些理解以及处理思路 一、何为验签接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理 二、处理思路 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/
缘份居八字算命API接口,排盘,周易占卜,在线起名,抽签,姓名打分,老黄历查询API接口
尘中客的博客
02-13 2912
最新版本缘份居测算网站数据PHP版接口网站八字算命API接口
超详细!完整版!基于spring对外开放接口签名认证方案(拦截器方式)
Coldmood的博客
06-26 4665
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。
实现接口权限验证——验签
王兆镇的博客
03-20 5186
实现接口权限验证 开发用户接口实例之前,还需要设计一套严格的接口验证方法,保证 PI 接口的安全 性。常见的接口验证一般包含以下几种 接口时效性验证。为了防止大 的重复请求, 可以设置每次请求的时效 小到以秒为单位, 大到可以是半个 小时 参数完整性验证。一般接口攻击, 都会截获请求,附带额外参数进行攻击,需要进行过滤验证。此时就需要客户端把所有的请求参 数根据一个特定的算法,生成一个签名字符串,并在请求时一并发送。服务器接收到这个 签名字符串后进行验证。 用户唯一Token 。用户每次登录都会生成唯 T
openssl 3.1.0 c++ sm2 签名验签
06-01
在 OpenSSL 3.1.0 版本中,...需要注意的是,在 OpenSSL 3.1.0 中,SM2 签名验签API 并不是直接提供的,而是通过 EVP 接口进行的封装。此外,实际应用中还需要考虑一系列安全性问题,例如密钥管理、签名验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值