java验证签名_简单API接口签名验证

最新推荐文章于 2023-08-06 17:22:56 发布
最新推荐文章于 2023-08-06 17:22:56 发布
阅读量1.5k 收藏 1
点赞数
文章标签: java验证签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42291186/article/details/114051404
版权
本文介绍了如何在Java中设计并实现一个简单的API接口签名验证机制,以确保接口安全性。主要内容包括通过分配的app_key和app_secret验证身份,对请求参数进行排序和MD5加密,以及携带时间戳来保证请求的唯一性和防止重复请求。文中提供了完整的签名生成和校验的Java代码实现。
摘要由CSDN通过智能技术生成

前言

后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:

1. 请求的来源是否合法

2. 请求参数是否被篡改

3. 请求的唯一性

我们的签名加密也是主要针对这几个问题来实现

设计

基于上述的几个问题,我们来通过已下步骤来实现签名加密:

1. 通过分配给APP对应的app_key和app_secret来验证身份

2. 通过将请求的所有参数按照字母先后顺序排序后拼接再MD5加密老保证请求参数不被篡改

3. 请求里携带时间戳参数老保证请求的唯一和过期,重复的请求在指定时间(可配置)内有效

实现

签名生成:

生成当前时间戳timestamp=now

按照请求参数名的字母升序排列非空请求参数(包含accessKey) stringA="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random";

拼接密钥accessSecret stringSignTemp="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random&accessSecret=secret";

MD5并转换为大写生成签名 sign=MD5(stringSignTemp).toUpperCase();

JAVA代码如下:params是从request里面获取的所有参数map,accessSecret是加密密钥

private String createSign(Map params, String accessSecret) throws UnsupportedEncodingException {

Set keysSet = params.keySet();

Object[] keys = keysSet.toArray();

Arrays.sort(keys);

StringBuilder temp = new StringBuilder();

boolean first = true;

for (Object key : keys) {

if (first) {

first = false;

} else {

temp.append("&");

}

temp.append(key).append("=");

Object value = params.get(key);

String valueString = "";

if (null != value) {

valueString = String.valueOf(value);

}

temp.append(valueString);

}

temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);

return MD5Util.MD52(temp.toString()).toUpperCase();

最低0.47元/天 解锁文章
如风如此
关注
Java加密和数字签名编程快速入门.rar_Java加密_java 数字 签名_java 数字签名_数字 签名_数字签名
09-22
JAVA文档,用于实现加密入门很有帮助,现在很多编程都需要有加密技术,以提高安全,这只是JAVA的学习书籍,希望对大家有帮助
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
java验证签名_验证签名机制——java示例
weixin_33326218的博客
02-12 1194
import java.security.KeyPair;import java.security.KeyPairGenerator;import java.security.NoSuchAlgorithmException;import java.security.Signature;/**** @since 2015年8月20日 下午2:22:08* @author hym*/public c...
Handwritten Signature SDK:Java SDK可用于开发手写签名验证应用-开源
04-30
手写签名SDK支持:动态时间包装(DTW),扩展回归(ER),签名采样,方向哈希和功能提取:有关更多信息,请参见Wiki。
Java 三种方式实现接口校验
weixin_33709590的博客
06-08 1334
方法一:AOP 代码如下定义一个权限注解   [java] view plain copy   package com.thinkgem.jeesite.common.annotation;      import java.lang.annotation.ElementType;   import java.lang.annotation.Retention;   import jav...
java appkey_开放API平台都有的appid、appkey、appsecret分别是什么意思?
weixin_35702533的博客
02-16 3326
前言在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。在认证的过程中,往往会提供appid、appkey、appsecret三对key-value的数据。本篇文章就带大家聊深入了解一下这三组认证所需数据的功能及生成。先简单概况一下:app_id,应用的唯一标识;app_key,公匙(相当于账号);a...
API开放接⼝设计之appId,appSecret,accessToken
qq120631157的博客
06-06 695
API开放接⼝设计之appId,appSecret,accessToken
网关、开放平台如何设计appKey,appSecret,accessToken的生成和校验机制
小胖
12-13 1万+
总述 在开放平台或者网关中,经常会见到appKey,appSecret和accessToken,这是用来对openApi访问的一种授权机制。一般分为调用方应用和发布方API,发布了API以后,是用来调用的。如果想调用API的话,需要创建一个调用方应用,同时会颁发一队appKey以及appSecret,前者是公开的,这就是你的唯一身份认证的,后者是密钥,一般不会公开,后续会用于加签,而且一般情况下也...
基于Java语言的API接口签名验证与数据安全设计源码
10-02
该项目是一款基于Java语言的API接口签名验证与数据安全设计方案源码,包含114个文件,涵盖97个Java源文件、10个XML配置文件、以及其他多种类型文件,旨在有效解决API接口的数据安全问题。
id_digital.rar_java 数字签名_数字签名_数字签名 java
09-20
“VerifySign.java”文件则是用于验证签名的。它使用公钥和签名数据来确认数据的完整性和来源的合法性。同样,`Signature`类在这里用于验证签名,通过更新数据的哈希值,然后与已有的签名进行比较,如果匹配,则说明...
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
这确保了只有拥有私钥的人才能创建有效的签名,而任何人都可以使用公钥来验证签名。 在Java中处理这些概念时,你需要了解以下关键知识点: 1. **密钥对生成**:使用`java.security.KeyPairGenerator`生成公钥和...
数字签名、数字证书分析与Java实现.rar_java 签名 证书_数字签名 rsa_证书_证书解密_证书验证
09-23
“证书验证”是检查证书的完整性和有效性,包括验证签名、确认证书链、检查是否过期等。Java的CertificateFactory和TrustManager接口可以用于这个过程。 综上所述,数字签名和数字证书是保障网络通信安全的关键技术...
JAVA-digital-signature.zip_java 数字签名_数字签名
09-23
Java中,数字签名通常使用Java Cryptography Architecture (JCA) 和 Java Cryptography Extension (JCE) 提供的API来实现。这篇"用Java实现数字签名——chinaSCI系列讲义"将深入探讨这一主题,帮助开发者理解并...
开放api接口平台都会有appid、appkey、appsecret
热门推荐
极客on之路
06-09 7万+
作者:肖旭 链接:https://www.zhihu.com/question/27814664/answer/140795440 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 我来回答你吧: app_id, app_key, app_secret , 对于平台来说, 需要给你的 你的开发者账号分配对应的权限: 1. app_id 是用来标记
如何写出一个优秀的对外接口【3条原则,16个小点】
胡杰的专栏
03-31 1757
对外API接口设计 安全性 1、创建appid,appkey和appsecret 2、Token:令牌(过期失效) 3、Post请求 4、客户端IP白名单 (可选) 5、单个接口针对IP限流(令牌桶限流,漏桶限流,计数器限流) 6、记录接口请求日志 7、采用Https 8、数据合法性校验 9、密码查询(加缓存,key使用客户号) 10、接口调用失败告
app接口java签名验证工具类
博客
08-20 2742
SHA1工具类 package com.pbh.util; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.ArrayList; import java.util.Collections; import java.util.List
如何设计安全可靠的开放接口---之AppId、AppSecret
自律使我自由
05-17 4635
文章目录前言 前言 前面我们介绍过了Token机制,它可以解决单点登陆、跨域等问题,避免每次都需要用户登陆,不过并不是每个对外开放接口都是需要用户登陆的,如果是这样,那我们就要想其他的方式来对用户身份进行验证了,一般我们会使用AppId的方式,实际上你也可以认为它是一种Token机制,只不过换一个名字而已。 AppId的生成 ......
JavaWeb项目对接第三方接口的鉴权
weixin_44506280的博客
08-06 2174
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。
上市公司财务指标现金流分析1991-202406的网盘链接.docx
最新发布
10-20
Stkcd [股票代码] ShortName [股票简称] Accper [统计截止日期] Typrep [报表类型编码] Indcd [行业代码] Indnme [行业名称] Source [公告来源] F060101B [净利润现金净含量] F060101C [净利润现金净含量TTM] F060201B [营业收入现金含量] F060201C [营业收入现金含量TTM] F060301B [营业收入现金净含量] F060301C [营业收入现金净含量TTM] F060401B [营业利润现金净含量] F060401C [营业利润现金净含量TTM] F060901B [筹资活动债权人现金净流量] F060901C [筹资活动债权人现金净流量TTM] F061001B [筹资活动股东现金净流量] F061001C [筹资活动股东现金净流量TTM] F061201B [折旧摊销] F061201C [折旧摊销TTM] F061301B [公司现金流1] F061302B [公司现金流2] F061301C [公司现金流TTM1] F061302C [公司现金流TTM2] F061401B [股权现金流1] F061402B [股权现金流2] F061401C [股权现金流TTM1] F061402C [股权现金流TTM2] F061501B [公司自由现金流(原有)] F061601B [股权自由现金流(原有)] F061701B [全部现金回收率] F061801B [营运指数] F061901B [资本支出与折旧摊销比] F062001B [现金适合比率] F062101B [现金再投资比率] F062201B [现金满足投资比率] F062301B [股权自由现金流] F062401B [企业自由现金流] Indcd1 [行业代码1] Indnme1 [行业名称1] 季度数据,所有沪深北上市公司的 分别包含excel、dta数据文件格式及其说明,便于不同软件工具对数据的分析应用 数据来源:基于上市公司年报及公告数据整理,或相关证券交易所、各部委、省、市数据 数据范围:基于沪深北证上市公司 A股(主板、中小企业板、创业板、科创板等)数据整理计算
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值