如何在项目中应用“API签名认证”

❤ 作者主页：李奕赫揍小邰的博客
❀ 个人介绍：大家好，我是李奕赫！(￣▽￣)~*
🍊 记得点赞、收藏、评论⭐️⭐️⭐️
📣 认真学习!!!🎉🎉

 
  最近在做一个API开放平台，因为开发者可以上传接口到这个平台上面，然后用户可以浏览平台进行付费次数调用。但值得思考的是，如果用户量很大，或者攻击者疯狂请求这个接口，这会导致安全问题，同时也会耗尽服务器性能，影响正常用户的使用。
  因此需要进行保护措施，所以我使用的API签名认证进行权限认证。

为什么需要API签字认证？

  为了保证安全性，不能让任何人都能调用接口。那么，我们如何在后端实现签名认证呢？我们需要两个东西，即 accessKey 和 secretKey。这和用户名和密码类似，不过每次调用接口都需要带上，实现无状态的请求。这样，即使你之前没来过，只要这次的状态正确，你就可以调用接口。所以我们需要这两个东西来标识用户。
  他的本质就是签发签名，使用签名。同时需要运用到加密算法，对ak,sk加密成签名。

 

API签名认证需要的参数

参数 1：accessKey：调用的标识 （复杂、无序、无规律）
参数 2：secretKey：密钥（复杂、无序、无规律）
参数 3：用户请求参数
参数 4：sign（加密的算法）
参数 5：加 nonce 随机数，只能用一次。服务端要保存用过的随机数，防止重放请求
参数 6：加 timestamp 时间戳，校验时间戳是否过期。防止重放请求。
 
防止重放作用
  每个请求在发送时携带一个时间戳，后端会验证该时间戳是否在指定的时间范围内，例如不超过10分钟或5分钟。这可以防止对方使用昨天的请求在今天进行重放。通过这种方式，我们可以一定程度上控制随机数的过期时间。因为后端需要同时验证这两个参数，只要时间戳过期或随机数被使用过，后端会拒绝该请求。因此，时间戳可以在一定程度上减轻后端保存随机数的负担。通常情况下，这两种方法可以相互配合使用。

 

API签名认证实现

 

1.用户注册创建ak，sk

  1.每个用户在注册的时候，就需要创建ak,sk

/**
* 盐值，混淆密码
*/
private static final String SALT = "123";
public long userRegister(String userAccount, String userPassword, String checkPassword) {
   
   
        // 1. 校验
        if (StringUtils.isAnyBlank(userAccount, userPassword, checkPassword)) {
   
   
            throw new BusinessException(ErrorCode.PARAMS_ERROR, "参数为空");
        }
        if (userAccount.length() < 4) {
   
   
            throw new BusinessException(ErrorCode.PARAMS_ERROR, "用户账号过短");
        }
        if (userPassword.length() < 8 || checkPassword.length() < 8) {
   
   
            throw new BusinessException(ErrorCode.PARAMS_ERROR, "用户密码过短");
        }
        // 密码和校验密码相同
        if (!userPassword.equals(checkPassword)) {
   
   
            throw new BusinessException(ErrorCode.PARAMS_ERROR, "两次输入的密码不一致");
        }
        synchronized (userAccount.intern()) {
   
   
            // 账户不能重复
            QueryWrapper<User> queryWrapper = new QueryWrapper<>();
            queryWrapper.eq("userAccount", userAccount);
            long count = userMapper.selectCount(queryWrapper);
            if (count