签名(Signature)认证实现方式-用于请求鉴权

最新推荐文章于 2024-09-11 06:07:26 发布
最新推荐文章于 2024-09-11 06:07:26 发布
阅读量9.4k 收藏 25
点赞数 5
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41846320/article/details/96158057
版权

常用的请求认证方式有两种:

1、Signature认证

一次性的身份校验方式,常见于不同项目间的api通信
一般形式是通过 AppID/AccessKey/AppSecret 及签名算法针对通信数据生成签名
AccessKey作为公钥,AppSecret作为私钥,AppSecret不能放在网络上传输
接口数据推送时,会随带上AppID、AccessKey、Timestamp 及 Signature
在服务端同样留存着一份相同的 AppID/AccessKey/AppSecret 配置
服务端接受到请求后通过AppID对应出匹配的AppSecret,结合相同的签名算法计算签名,并与请求附带的签名做校验
时间戳可以防止恶意用户截取到签名后进行伪装请求,使签名只在一定时间范围内有效,过期后不能再请求
由于每次请求的数据载荷不同,所以一般每次请求都会产生不同的签名.

2、Token认证

状态可维持的身份校验方式,常见于第三方服务或APP接口的OAUTH2认证中
一般形式是通过 账号/密码 或 clientId/clientSecret 向认证服务请求Token
服务端Authenticate通过后返回Token,并在一定时间内对Token及相应账号信息进行缓存
后续的接口通信都将通过Token来进行认证
在一段活跃期内, 连续的请求Token是相同

 

本文主要介绍签名认证的主要实现方式

客户端:

(1)封装一个获取时间戳、生成签名的工具类

package com.solin.tools.utils;

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.security.MessageDigest;
import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.util.Date;
import java.util.Formatter;

public class EncryptedUtil {

    /*
     * HMACSHA256加密签名
     * Hash-based Message Authentication Code  SHA256
     * @param sourceStr 加密的源字符串
     * @param secretAccessKey 密钥
     */
    public static String getSign(String sourceStr,String secretAccessKey) throws Exception{
        SecretKey secretKey = new SecretKeySpec(secretAccessKey.getBytes(),"HmacSHA256");
        Mac mac = Mac.getInstance(secretKey.getAlgorithm());
        mac.init(secretKey);
        final byte[] hmac = mac.doFinal(sourceStr.getBytes());
        StringBuilder stringBuilder = new StringBuilder(hmac.length*2);
        Formatter formatter = new Formatter(stringBuilder);
        for (byte b :hmac){
            formatter.format("%02x",b);
        }
        formatter.close();

        return stringBuilder.toString();
    }

    /*
     * MD5加密
     * @param sourceStr 加密的源字符串
     */
    public static String MD5(String sourceStr) {
        String result = "";
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update(sourceStr.getBytes("UTF-8"));
            byte b[] = md.digest();
            int i;
            StringBuffer buf = new StringBuffer("");
            for (int offset = 0; offset < b.length; offset++) {
                i = b[offset];
                if (i < 0)
                    i += 256;
                if (i < 16)
                    buf.append("0");
                buf.append(Integer.toHexString(i));
            }
            result = buf.toString();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }

    /*
     * 时间转换成unix时间戳
     * @param dateStr 时间字符串
     */
    public static Long getUnixTimestamp(String dateStr){
        SimpleDateFormat simpleDateFormat=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS");
        try {
            Date date = simpleDateFormat.parse(dateStr);
            return  date.getTime();

        } catch (ParseException e) {
            return null;
        }
    }

(2)封装一个简单的日期工具类

package com.solin.tools.utils;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * 日期工具类
 */
public class DateUtils {
    //log
    private final static Logger logger = LoggerFactory.getLogger(DateUtils.class);
    private DateUtils(){}


    //Srting转date
    public static Date changeStringToDate(String dateStr) {
        Date date = new Date();
        try {
            date = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").parse(dateStr);
        } catch (ParseException e) {
            logger.error(e.getMessage());
        }
        return date;

    }

    //Srting转date精确到毫秒
    public static Date changeStringToMillisecondDate(String dateStr) {
        Date date = new Date();
        try {
            date = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS").parse(dateStr);
        } catch (ParseException e) {
            logger.error(e.getMessage());
        }
        return date;

    }

    //date转String精确到毫秒
    public static String changeDateToMillisecondString(Date date) {
        String dateStr = "";
        try {
            dateStr = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS").format(date);
        } catch (Exception e) {
            logger.error(e.getMessage());
        }
        return dateStr;
    }

}

 (3)生成时间戳和签名测试

package com.solin.tools;

import com.solin.tools.utils.SignResult;

/**
 * 生成签名测试
 */
public class SignTest {

    public static void main(String[] args) throws Exception{ 
        String appId = "123456";
        String accessKey = "e16188442d8f460696bddf2b";
        String secretKey = "c0248ad5cced4820835ad54d90ba1fe0";
        String timestamp = DateUtils.changeDateToMillisecondString(new Date());
// 将timestamp转化为unix时间戳
	long timestampLong = EncryptedUtil.getUnixTimestamp(timestamp);
	// 拼接字符串
	String requestStr = timestampLong + appId + accessKey;
	// MD5字符串
	String requestMd5Str = EncryptedUtil.MD5(requestStr);
	// 生成签名
	String sign = EncryptedUtil.getSign(requestMd5Str ,secretKey);

        System.out.println("timestamp ===>>> " + timestamp);
        System.out.println("sign ===>>> " + sign);
    }
}

服务端:

(1)时间戳及签名校验工具类


/**
 * API鉴权工具类
 * 1、校验时间戳
 * 2、校验签名 
 */
public class AppAuthenticationUtils {
    //log日志
    private static final Logger logger = LoggerFactory.getLogger(AppAuthenticationUtils.class);
    //鉴权时间戳范围,单位毫秒
    public static final long scopeTime = 300000L;

    /**
     * API鉴权
     * @param appId 应用ID
     * @param accessKey 访问密钥
     * @param secretKey 签名密钥
     * @param requestTimestamp 时间戳
     * @param signature 签名
     */
    public static ResponseStatus checkAuthentication(String appId , String accessKey , String secretKey,
                                                        String requestTimestamp, String signature)  {
        long requestUnixTimestamp = EncryptedUtil.getUnixTimestamp(requestTimestamp);
        // 校验请求时间戳
        if (!checkRequestTimestamp(requestUnixTimestamp , scopeTime)){
            return new ResponseStatus(false, "Invalid requestTimestamp ...");
        }
        // 校验签名
        if (!checkSignature(appId, accessKey, secretKey, requestTimestamp,signature)){
            return new ResponseStatus(false, "Invalid signature...");
        }

        return new ResponseStatus(true, "鉴权通过");
    }


    /**
     * 校验签名
     * @param appId 应用ID
     * @param accessKey 接口密钥
     * @param requestTimestamp 时间戳
     * @param signature 签名
     */
    private static boolean checkSignature(String appId, String accessKey, String secretKey, String requestTimestamp,
                                          String signature) {
        boolean isAuthPass = false;
        try {
            long requestUnixTimestamp = EncryptedUtil.getUnixTimestamp(requestTimestamp);
            String requestMd5Str = EncryptedUtil.MD5(requestUnixTimestamp + appId + accessKey);
            String sign = EncryptedUtil.getSign(requestMd5Str ,secretKey);
            if (StringUtils.isNotEmpty(sign) && sign.equals(signature)){
                isAuthPass = true;
            }
        } catch (Exception e) {
            logger.error("Interface authentication failed ", e);
        }
        return isAuthPass;
    }

    /**
     * 判断失效时间
     * @param requestUnixTimestamp unix时间戳
     */
    private static boolean checkRequestTimestamp(long requestUnixTimestamp  ,long scopeTime){
        boolean isVaildTimestamp = false;
        long currentTime = System.currentTimeMillis();
        long minVaildTime = currentTime - scopeTime;
        long maxVaildTime = currentTime + scopeTime;
        if (requestUnixTimestamp >= minVaildTime && requestUnixTimestamp <= maxVaildTime){
            isVaildTimestamp = true;
        }
        return isVaildTimestamp;
    }

}

 

Java技术攀登者
关注
专栏目录
java数据签名几种_java接口签名(Signature)实现方案续
weixin_39789792的博客
02-13 1531
v一、前言由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。v二、签名规则1、线下分配appid和appsecret,针对不同的调用方分配不同的ap...
ak sk认证java demo_AK-SK鉴权
weixin_29765215的博客
03-03 4307
插件名称类别名称描述属性服务插件AK/SK 鉴权gw-ak_sk_auth用户鉴权功能描述配置自己的AK/SK,或是使用网关自动生成的AK/SK,完成认证。客户端涉及的AK/SK签名以及请求发送的流程概述如下:(1)构造规范请求。将待发送的请求内容按照与API网关后台约定的规则组装,确保客户端签名、API网关后台认证时使用的请求内容一致。(2)使用规范请求和其他信息创建待签字符串。(3)使用AK/...
signature, 基于简单密钥/秘密的api认证.zip
09-18
signature, 基于简单密钥/秘密的api认证 签名 示例客户端示例params = {:some => 'parameters'}token = Signature::Token.new('my_key', 'my_secret')request = S
opencascade AIS_SignatureFilter源码学习
汤圆
08-01 799
/!通过它们的类型和签名选择交互对象。签名为对象的类型提供了额外的特征描述,采用索引的形式。过滤器在本地上下文中查询每个交互对象,以确定其是否具有非空的所有者,并且如果有的话,是否具有所需的签名。如果对象在每种情况下返回true,则保留该对象。否则,将其拒绝。//!默认情况下,交互对象具有None类型和签名0。如果您想要为您的交互对象指定特定的类型和签名,必须重新定义两个虚拟方法:Type和Signature。//!此过滤器仅在开放的本地上下文中使用。
签名认证
程序员杂谈
01-24 2721
        摘要认证方式能够一定程度上防止通信的内容被篡改,但是,算法的安全性取决于secret的安全性,由于通信的客户端与服务端采用的是相同的secret,一旦secret泄露,恶意攻击者便可以根据相应的摘要算法,伪造处合法的请求或相应的摘要,达成攻击目的。         与摘要认证方式相似,由于传递端和接收端都认为HTTP协议的请求参数是无序的,因此对于签名来说,客户端与服务端双方需...
2. 签名认证
我想我是海 冬天的大海 心情随风轻摆
07-03 361
/// &lt;summary&gt; /// 验证微信签名 /// &lt;/summary&gt; /// &lt;returns&gt;&lt;/returns&gt; /// * 将token、timestamp、nonce三个参数进行字典序排序 /// * 将三个参数字符串拼接成一个字符串进行...
SpringCloud-Feign,Hystrix,Gateway(请求路由-跨域-限流-过滤器鉴权
demo小王子
03-14 1527
SpringCloud Feign声明式服务调用 Feign底层依赖于Ribbon来实现负载均衡和远程调用 简化远程调用:不再使用RestTemplate来完成RPC,而是使用Feign接口 消费端客户端引入open-feign依赖 <!--feign--> <dependency> <groupId>org.springframework.cloud</groupId> <arti
前后端交互 -- jwt 鉴权
CSDN_GMC的博客
04-15 968
jwt 鉴权一. jwt 鉴权基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
详解用JWT对SpringCloud进行认证鉴权
08-26
在SpringCloud中使用JWT进行认证鉴权可以使用多种方式,例如放在HTTP请求的头信息Authorization字段里面,或者放在POST请求的数据体里面。同时,为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用...
Signature:生成并验证类的基本签名
05-25
:black_nib: 流浪\签名 签名和验证签名文件变得容易。 注意:这不是加密签名库。 安装 建议的安装方法是通过 : $ composer require roave/signature 用法示例 签名文件 // Creating a signer $ signer = new \ Roave \ Signature \ FileContentSigner ( new \ Roave \ Signature \ Encoder \ Sha1SumEncoder () ); // It'll give you a signature to the provided code content $ signature = $ signer -> sign ( file_get_contents ( '/var/tmp/file.php' )); 验证签名文件 // Creating a si
SignatureCheck
02-18
博客配套代码
soul网关-4-sign插件签名认证
nemointellego的专栏
01-18 1438
一个网关的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用网关的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相关的鉴权,是那种不具有普适性的需求。 soul网关的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soul网关sign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动网关soul-bootstrap、启动示例的springboot项目soul-example-http 2.在admin管理后台的sign
API 签名认证_api签名认证
最新发布
2401_86951318的博客
09-11 304
客户端准备请求:客户端构建API请求,并收集所有必要的参数,如请求方法、URL、时间戳、身份凭证等。参数排序:将请求参数按照一定的规则进行排序,通常是按参数名称的字母顺序进行排序。生成待签名字符串:将排序后的参数按照一定的格式拼接成一个待签名的字符串。添加密钥:将密钥(一般是客户端的私钥)加入待签名字符串中。计算签名:使用特定的加密算法(如HMAC-SHA1、HMAC-SHA256等)对待签名字符串进行加密,生成签名。发送请求:将生成的签名添加到API请求中的特定位置(如请求头或请求参数)。
浅谈URL参数的sign签名认证
热门推荐
qq_15901351的博客
05-03 4万+
以下内容是参考别人的博客内容整理,如有不足之处,敬请指正。。。 大家先思考一个问题: 你在写开放的API接口时是如何保证数据的安全性的? 先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 1. 请求来源(身份)是否合法? 2. 请求参数被篡改? 3. 请求的唯一性(不可复制)...
web签名验证程序【跨服务器、中文字符签名方法】-php为例
weixin_30333885的博客
10-18 225
做电子商务网站,少不了接入支付。做开发同学知道,支付需要调试很多项,比较耗费时间,又有些挑战性的就是它的支付签名验证了。 首先,我们看一下接口数字签名是怎么回事。 一、接口数字签名 甲方是:服务提供商,开方一个接口。getuserinfo.php ,接收:coid(乙方的标示) username(用户名) 调用接口,返回用户信息,这里只以二个字段说明。 乙方是:服务接口调用...
网络安全签名认证
ZH的博客
03-04 799
网络安全的签名认证是非常实用的技术知识,但是了解的人比较少。因为相关的内容基本都有成熟的解决方案,很少需要我们做什么。这些东西经常被用到,需要真正理解才能更好和更正确的使用。这里把相关的内容整理出来,帮助大家更好的掌握。
public String getSign(String body,String ts){ String sign = ""; try { sign = GetSign.getsign(body,ts); } catch(Exception e){} return sign; }怎么打印body
06-01
要打印body,可以在方法中增加一行代码进行输出。例如: ``` public String getSign(String body, String ts) { System.out.println("body: " + body); // 打印body String sign = ""; try { sign = GetSign.getsign(body, ts); } catch (Exception e) { } return sign; } ``` 这样,在调用getSign方法时,会在控制台输出body的值。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值