http请求中简单的签名验证

最新推荐文章于 2024-07-12 17:33:11 发布
最新推荐文章于 2024-07-12 17:33:11 发布
阅读量2.9k 收藏 7
点赞数
分类专栏: php 文章标签: php
原文链接:https://github.com/entere/sign
版权

安装

安装包文件

composer require "entere/sign:v1.0.0"

使用

php 实例:

<?php
require_once("./src/Sign.php");

use Entere\Sign\Sign;

$params = [
    'access_key'=>'7576762362',
    'timestamp'=>'1439279383630',
    'screen_name'=>'entere',
    'format'=>'json'
];
$secret = 'f827182b1051075e601c73ac1ae329fa';
$result = Sign::generateSign($params,$secret);
return $result;

?>

Laravel5 实例:

<?php 

namespace App\Http\Controllers;

use Entere\Sign\Sign;

class WelcomeController extends Controller {
    
    public function index()
    {
        $params = [
            'access_key'=>'7576762362',
            'timestamp'=>'1439279383630',
            'screen_name'=>'entere',
            'format'=>'json'
        ];
        $secret = 'f827182b1051075e601c73ac1ae329fa';
        $result = Sign::generateSign($params,$secret);
        return $result;

    }
}

?>

说明

客户端与服务端的数据交互,大部分应用都采用的 RESTful API 的方式,那么如何确保 API 接口的安全性呢?URL 签名的方式可以确保请求的过程中参数不被修改。

签名的机制是由开发者在 API 客户端计算出系列参数组合的哈希值,将产生的信息添加到 URL 请求的 sign 参数。

例如 API 请求参数如下:

{
    "access_key":"7576762362",
    "timestamp":"1439279383630",
    "screen_name":"entere",
    "format":"json"
}

1、按参数名进行升序排列

access_key, timestamp, screen_name, format 其中不包括空值参数

排序后的参数为:

{
    "access_key":"7576762362",
    "format":"json",
    "screen_name":"entere",
    "timestamp":"1438279283630",
    
}

2、构造签名串

以secret字符串开头,追加排序后参数名称和值,格式:

secretkey1value1key2value2...

假设 secret的值为 f827182b1051075e601c73ac1ae329fa 应用到上述示例得到签名串为:

f827182b1051075e601c73ac1ae329faaccess_key7576762362formatjsonscreen_nameenteretimestamp1438279283630

3、计算签名

对上面的签名串进行 md5 签名:

md5(f827182b1051075e601c73ac1ae329faaccess_key7576762362formatjsonscreen_nameenteretimestamp1438279283630)

并把值转成小写:

927c0fc11caaf98840ed7773b348685c

4、添加签名

将计算的签名值以 sign 参数名,附加到 URL 请求中。一个典型的 API 请求如下所示

https://xxx.com/xxx?access_key=7576762362&format=json&screen_name=entere&timestamp=1438279283630&sign=927c0fc11caaf98840ed7773b348685c

5、服务器验证

验证请求者的身份:简单判断 access_key。

防止重放攻击:服务器端首先验证时间戳 timestamp 是否有效,比如是服务器时间戳 5 分钟之前的请求视为无效。

保护传输中的数据:服务端收到请求时,将基于相同签名方法(去掉 sign 参数)重新计算哈希,并将其与请求中包括的哈希值进行匹配。如果哈希值不匹配,服务器将返回 401(未授权被拒绝)错误码。

License

MIT

「已注销」
关注
专栏目录
【HTTP API】简单的http签名算法
藏经阁 | 玄苦
05-27 1554
常见的CS架构,客户端经常需要请求服务端提供的公网接口。由于接口暴露在公网,存在以下几个问题 接口就很容易被其他人利用甚至有可能导致被刷接口影响服务可用性。 请求被篡改,影响实际请求结果 其它问题 为了解决这些问题,最简单的方法是客户端请求服务端的时候加个sig签名,服务端对sig签名做个判断。 通过简单的sig签名能够防住一些被刷接口的可能,同时也能够做下请求校验,可以达到初步的防御效果。...
java api接口签名验证失败_简单API接口签名验证
weixin_42371226的博客
02-23 4341
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
HTTP接口签名校验
weixin_38370441的博客
08-31 1219
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
http接口接入签名校验
最新发布
qq_45047031的博客
07-12 477
它是 Spring 提供的一种验证机制,用于在数据绑定之前对用户输入的数据进行验证和校验。1,@ControllerAdvice注解:是一个用于处理全局异常、全局数据绑定和全局数据预处理的注解,这里我们用到的是全局数据预处理。随便写一个request类,这是父类,所有的request类都要实现该类,才能走签名校验,sign就是我们需要的签名校验字段。实现spring提供的validator接口,support的判断条件用的是不是继承于我们的request父类。至此,我们就完成了简单的接口签名校验了。
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 780
签名算法定义签名字符串有效期的一般做法是在请求参数加入一个时间戳参数。客户端在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器端在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求添加签名字符串和时间戳参数,发送给服务器。
Java http加签、验签实现方案
qq_52231508的博客
04-18 1053
数据在网络传输过程,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的加密验签,所以需要考虑以下几点。
http接口签名机制
Monten_Cristo的博客
06-26 2720
第三方接口
Go-GolangHttpAPI签名验证工具包提供对API请求的签名生成签名校验等工具类
08-13
Go-Golang HttpAPI签名验证工具包是专为此目的设计的,它提供了生成和校验API请求签名的功能,有助于防止数据篡改和未经授权的访问。下面将详细介绍这个工具包的工作原理和使用方法。 1. **签名生成** - **哈希...
互联网开发|通用调试工具(http请求测试,参数签名,RSA加解密,google验证器,js简单混淆,sql格式化,批量修改文件名)等)
03-29
互联网开发工作,经常需要一些辅助处理,例如:http接口访问测试,参数名排序/签名计算,加密解密,编码解码,替换短信验证的google验证器调试,js简单混淆,cmd指令程序运行,批量生成某种语句指令,生成RSA秘钥对,...
API接签名验证
08-01
Access Token是一种短期的、一次性使用的凭证,客户端需要在请求携带此Token,服务端会验证Token的有效性后再进行签名验证,这样即使签名被截获,也无法用于其他请求。 通过以上步骤,我们可以看到API接口签名...
Python-Api签名验证样例
08-10
在API(应用程序编程接口)开发,为了确保数据的安全传输,通常会采用签名验证机制。本文将详细探讨PythonAPI签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
HTTP的证书以及签名
08-24
1.介绍非对称加解密机制 2.HTTP的加解密原理以及相关的证书和签名机制
RSA签名及验签 SHA-1加密 HTTP协议开发
11-22
服务器是JAVA平台,本地是.net平台,需要通过HTTP post方式进行协议开发及通信,本地信息需要经过私钥签名,服务器收到信息后进行公钥验签;同时在得到服务器返回结果后进行解密。代码包括 签名 SHA-1加密 BASE64解码 压缩算法 验签。
http请求签名生成算法
瑾修的博客
12-02 858
http请求签名生成算法、 lua & golang
接口安全--http数字签名
少年乖
05-17 1031
web service - rest(representational state transfer)面向资源的接口安全常用手段https://blog.csdn.net/u011521890/article/details/55506716
HTTPS(一)自签名https
YongYu_IT的专栏
03-23 2685
1、准备一个空白的CentOS 查看系统版本 $ su # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)  2、安装RoR环境 参照《CentOS 7 快速安装RoR环境 》 安装结果: $ ruby -v ruby 2.4.1p111 (2017-03-22 revision 58053) [x86_64...
java生成ssl证书_Java生成个人签名的SSL证书
weixin_33291684的博客
02-13 696
此方式仅为个人签名的SSL证书, 个人签名的版本是不受公网路由信任的,最直接的影响是打开个人签名的https网站时,页面会提示"此网站不受信任,是否添加例外"之类的警告,点击add exception 之后才会访问进去.而更严重的影响是,在service层面. 前端发送异步请求到service, 使用个人签名证书的service是无法被https的前端页面(注意: HTTPS的前端页面不能访问ht...
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1099
在上一篇的 HTTP接口安全机制之用户认证 的内容,解决了身份认证和用户名密码安全传输的问题. 用户名和密码没有泄露,用户在系统进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
java http请求跳过证书验证
05-24
在 Java 进行 HTTP 请求时,可以使用 HttpsURLConnection 来发送 HTTPS 请求。如果目标服务器使用自签名证书或者其他不受信任的证书,可能会遇到证书验证失败的问题。为了跳过证书验证,可以通过设置 SSLContext 来实现。 以下是一个示例代码: ```java import javax.net.ssl.*; import java.io.*; import java.net.*; public class HttpsClient { public static void main(String[] args) throws Exception { // 创建 SSLContext SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[]{new TrustAllManager()}, null); // 设置默认的 SSLSocketFactory 和 HostnameVerifier HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() { public boolean verify(String hostname, SSLSession session) { return true; } }); // 创建 URLConnection URL url = new URL("https://example.com"); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); conn.setRequestMethod("GET"); // 发送请求 BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream())); String inputLine; while ((inputLine = in.readLine()) != null) { System.out.println(inputLine); } in.close(); } private static class TrustAllManager implements X509TrustManager { public void checkClientTrusted(X509Certificate[] certs, String authType) {} public void checkServerTrusted(X509Certificate[] certs, String authType) {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } } ``` 在上面的代码,我们创建了一个 TrustAllManager 类,它实现了 X509TrustManager 接口,用于跳过证书验证。我们还创建了一个 SSLContext,并将其设置为默认的 SSLSocketFactory 和 HostnameVerifier。这样,所有的 HTTPS 请求都会使用我们自己的 SSLContext 来进行验证。 需要注意的是,跳过证书验证可能会带来安全风险。在实际应用,应该谨慎考虑是否需要跳过证书验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值