基于appKey和md5的接口加密验签

已于 2024-02-03 22:45:25 修改
阅读量486 收藏 8
点赞数 11
分类专栏: 安全 文章标签: java 安全
于 2024-02-02 16:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44988187/article/details/135996556
版权

基于appKey和md5的接口加密验签

1.为什么要验签?

内部:token鉴权;
对外服务:利用appKey和md5来进行接口验签;

2.验签思路

  • 为某个接口调用者,生成 1个appKey加1个secret秘钥
  • 调用者调用接口时,根据请求参数+appKey+secret秘钥,将报文键值根据首字母排序,然后生成一个sign签名
  • 调用者,请求接口的时候,把sign签名和appKey 传递给服务端
  • 服务端收到请求后,根据得到的appKey,去查询对应的secure秘钥
  • 服务端,把sign签名从参数中移除,和客户端做一样的事情,根据请求参数+appKey+secret秘钥,也计算一个sign签名
  • 服务端把自己计算得出的sign签名,和接口调用者传递过来的sign签名进行比较,如果一致,则证明这个接口的调用者,是合法的身份

3、需求

服务方需要提供:appKey,secretKey 并以键值对方式绑定;

签名机制:
请求报文中除了sign 全部参数都需要参与签名生成sign;

报文参数:

{
	"access_key":"psbc",
	"username":"test",
	"pwd":"123",
	"age":"2"
}

待签名字符:
需要对参数组按照首字母排序,再将参数根据&连接起来。

access_key=psbc&age=2&pwd=123&username=test

MD5 签名
签名是需要secretKey 参与签名,要求将secretKey 通过& 连接再待签名字符串形成最终待签名字符串;

access_key=psbc&age=2&pwd=123&username=test&psbc

最终形成一个sign,

最终请求报文:

{
	"access_key":"psbc",
	"username":"test",
	"pwd":"123",
	"age":"2",
	"sign":"sdjsfjkdhfjkhdjkghkhg"
}

4、实现

1、获取请求参数

request 获取请求体报文,具体根据接入方式实现

String requestData = requestBody
log.info(requestData )

2、json转map

将报文转换成map ,方便后续删除sign 并根据首字母排序

Map maps = (Map)JSON.parse(requestData);
for(Object map : maps.entrySet){
    log.info(((Map.Entry)map).getKey())
})

3、通过access_key 获取secretKey

(数据库维护或者配置文件维护 加密钥匙对)

String secretKey = 'psbc';

4、获取商家sign

待会需要对比服务端生成的sign和商家的sign 对比,暂存。

String signIt = (String)maps.get("sign")

5、移除商家sign

maps.remove("sign")

6、报文排序

将报文根据键首字母排序

maps = mapConver(maps);

public static Map mapConver(Map<String,String> map){
   if(map==null || map.isEmpty(){
          return null;
   } 
   Map<String,String> sortMap = new TreeMap<String,String>();
   sortMap.putAll(map);
   return sortMap;
}

7、格式化字符串

String str = "";
for(Map.Entry m : maps.entrySet()){
    str = str + m.getKey()+"="+m.getValue()+"&";
    str = str+secretKey;
}

待加密字符串:
username=test&pwd=123&psbc

8、加密核对

String signMe = DigestUtils.md5Hex(str);
if(signMe.equle(sign)){
    ""验签成功""
}
吹夢到西洲
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
APP接口自动化加密实战
路漫漫其修远
05-19 1026
在自动化测试中经常会遇到的一个痛点就是,报文传输加密. 有一些系统,从安全的角度考虑,后端是无法解析明文的,必须收到的是密文然后解密,才能做下一步操作. 在测试环境,有些后端改个参数,可以实现接收明文,但是也有一些系统,必须修改大量代码,才能实现接收明文的效果,而做自动化测试的一个原则之一便是 尽量不要因为做自动化而让开发修改代码 . 今天以我司手机银行app为例, 讲解报文加密问题解决的方法. 加密类型分析 一般手机银行的APP加密可以分为: 登录密码加密, 报文传输加密, 支付密码加密. 登录密码加
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
Java http加签、验签实现方案
最新发布
qq_52231508的博客
04-18 698
数据在网络传输过程中,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的加密验签,所以需要考虑以下几点。
php-app开发接口加密
weixin_30580341的博客
11-30 130
自己平时工作中用到的一套接口加密规则,记录下来以后用: 1 /** 2 inc 3 解析接口 4 客户端接口传输规则: 5 1.用cmd参数(base64)来动态调用不同的接口,接口地址统一为 http://a.lovexpp.com 6 2.将要传过来的参数组成一个数组,数组添加timestamp元素(当前时间戳,精确到秒),将数组的键值按照自然排序从大到小排序 7 3...
移动应用接口加密
zhang1099457817的专栏
12-13 458
1.目前了解到一种加密方法,就是把应用的key获取到放到网络请求的addHeader中。这样就确保了其他应用访问接口。但是有一个问题,如果用外界网络监察工具,会不会查到应用的key呢?从而导致key文件泄露。
测试接口遇到APP加密?先来了解一下算法思路~
weixin_56502375的博客
07-05 565
常见的加密方案有AES加密,RSA加密MD5加密等。由于引入签名sign请求头,我们在测APP接口的时候,不填签名数据的话,都会被服务端加密签名校验所拦截,这对我们测接口造成了极大的困扰。
app后台 接口加密解密 附带 一个冒泡
旧街-老酒的博客
08-10 1347
<?php namespace Home\Controller; use Think\Controller; class IndextestController extends Controller { public function index(){ //冒泡排序 $arr=array(1,43,54,62,21,66,32,78,36,76,39);
C# MD5加密算法
12-05
C# MD5加密算法
基于C#的电视台节目表接口调用代码
01-20
接口地址:http://www.juhe.cn/docs/api/id/129 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Net; using System.IO; using Xfrog.Net; using System....
基于JAVA的应用保护接口调用代码实例.docx-综合文档
05-21
Java编程语言中,开发基于应用保护的接口调用通常涉及到安全性和数据加密。这个代码实例专注于使用JAVA调用一个特定的应用保护API,该API可能是由聚合数据(JUHE)提供的服务,用于对Android APK应用程序进行加密...
Asp.Net Core基于JWT认证的数据接口网关实例代码
01-01
近日,应一位朋友的邀请写了个Asp.Net Core基于JWT认证的数据接口网关Demo。朋友自己开了个公司,接到的一个升级项目,客户要求用Aps.Net Core做数据网关服务且基于JWT认证实现对前后端分离的数据服务支持,于是想到...
App接口加密解密方法
weixin_34102807的博客
07-25 710
//加密 function encrypt($data) { $key = md5("safregr"); $str = base64_encode($data); $res = base64_encode($str.$key); return $res; } //解密 function decrypt($data) ...
后端外部接口验签
qq_43513370的博客
02-19 282
通过接口与外协系统对接时需要验签,本文章实现的是验签
app服务端接口解密处理方案
04-20 681
业务场景:如果app是明文请求,例如article?page=1&&page=10 一旦被别人劫持请求之后,那么攻击方可以修改参数,模拟你的请求page=2...page=3 这样的话,可以拿到你app的所有文章数据。 建议用AES数据请求加密,然后返回值加密java实现方案: 1:设计一个Filter,对请求参数解密 2:把请求参数,放到controller...
JAVA接口自动化框架9:用秘钥为多个参数进行AES加密MD5加密
jffhy2017的博客
01-02 1032
最近遇到一个开放接口,需要用秘钥把3个参数加密后传递,找了很多AES加密的文件放到我这里虽说能调通,但是得到的值确实不匹配的,所以如果公司用了AES加密的话最好问下研发要AES加密的文件,避免像我一样浪费很多时间 一、开发文档展示信息: 1. 请求方式 / 提交格式:post / json ,无body 2. 请求头: 名称 值 ur-a...
App安全加密策略
wybaby168的博客
02-01 1875
一种签名+验签的设计方案,供大家参考
uniapp接口层的aes和rsa的对称与非对称加密
weixin_44510655的博客
07-20 3749
uniapp实现接口层的aes和rsa对称与非对称的加密与解密
采用 sha1 算法使用 appKey 对 plainText 进行加密
06-02
好的,您可以使用以下代码实现: ```python import hashlib appKey = "your_app_key" plainText = "your_plain_text" # 将 appKey 和 plainText 拼接成一个字符串 str_to_encrypt = appKey + plainText # 使用 sha1 算法进行加密 sha1 = hashlib.sha1() sha1.update(str_to_encrypt.encode()) encrypted_text = sha1.hexdigest() print("加密后的文本为:", encrypted_text) ``` 其中,您需要将 "your_app_key" 和 "your_plain_text" 替换为您自己的应用密钥和明文文本。执行后,输出的结果就是加密后的文本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值