API签名认证

背景

如果我们为开发者提供了一个接口,却对调用者一无所知。假设我们的服务器只能允许100个人同时调用接口。如果有攻击者疯狂地请求这个接口,那将极其危险。一方面这可能会损害我们的安全性,另一方面也可能耗尽服务器性能,影响正常用户的使用。
因此,我们必须为接口设置保护措施,例如限制每个用户每秒只能调用十次接口,即实施请求频次的限额控制。如果在后期,你的业务扩大,可能还需要收费。因此,我们必须知道谁在调用接口,并且不能让无权限的人随意调用。
现在,我们需要设计一个方法,来确定谁在调用接口。在我们之前开发后端时,我们会进行一些权限检查。例如,当管理员执行删除操作时,后端需要检查这个用户是否为管理员。那么,我们如何获取用户信息呢?是否直接从后端的 session 中获取?但问题来了,当我们调用接口时,我们有 session 吗?比如说,我是前端直接发起请求,我没有登录操作,我没有输入用户名和密码,我怎么去调用呢?因此,一般情况下,我们会采用一个叫API签名认证的机制。这是一个重要的概念。
那么,什么是API签名认证?简单地说,如果你想来我家做客,我不可能随便让任何陌生人进来。所以我会提前给你发一个类似于请帖的东西,作为授权或许可证。当你来访问我的时候,你需要带上这个许可证。我可能并不认识你,但我认识你的请帖。只要你有这个请帖,我就允许你进来。
所以,API签名认证主要包括两个过程。第一个是签发签名,第二个是使用签名或校验签名。这就像一些短信接口的key一样。为什么我们需要API签名认证呢?简单地说,第一,为了保证安全性,不能让任何人都能调用接口。那么,我们如何在后端实现签名认证呢?我们需要两个东西,即 accessKey 和 secretKey。这和用户名和密码类似,不过每次调用接口都需要带上，实现无状态的请求（这里解释一下什么叫无状态请求，像我们平常上网，我们登录过之后，下次访问可能就会有记录，下一次就不需要再重新登录了，不过这个不一样，你每次来都要登录）这样，即使你之前没来过，只要这次的状态正确，你就可以调用接口。所以我们需要这两个东西来标识用户。

认证逻辑：

1、服务端生成一对 accessKey/secretKey密钥对，将 accessKey公开给客户端，将 secretKey 保密。

2、客户端使用 secretKey和一些请求参数(如时间戳、请求内容等)，使用 MD5 算法生成签名。

3、客户端将 accessKey、签名和请求参数一起发送给服务端。

4、服务端使用 和收到的请求参数，使用 MD5 算法生成签名。

5、服务端比较客户端发来的签名和自己生成的签名是否相同，如果相同，则认为请求是可信的，否则认为请求是不可信的。

下面将为大家演示如何生成 accessKey 和 secretKey。我们的加密使用MD5方法，使用hutool工具箱。

1、增加数据库字段

在数据库中增加accessKey和secretKey字段，最好将accessKey设置为索引，因为之后需要通过accessKey去查找用户确认身份。

2、签发accessKey和secretKey

编写签发函数，我们使用MD5加密，通过盐值、用户账号和随机数进行加密保证每个accessKey和secretKey的独立性，代码如下：

/**
 * 重新生成用户的访问密钥（AccessKey和SecretKey）。
 * 
 * @param user 需要更新密钥的用户对象。
 * @return 包含新生成的访问密钥和密钥ID的对象。
 * @throws BusinessException 如果更新失败，则抛出业务异常。
 */
public UserAkSk rebuildKey(User user) {
    // 从用户对象中获取用户账号
    String userAccount = user.getUserAccount();
    
    // 生成新的访问密钥，使用MD5加密，密钥包含盐值、用户账号和随机数，随机数长度为5
    String newAccessKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(5)).getBytes());
    
    // 生成新的密钥，使用MD5加密，密钥包含盐值、用户账号和随机数，随机数长度为8
    String newSecretKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(8)).getBytes());
    
    // 更新用户对象的访问密钥和密钥
    user.setAccessKey(newAccessKey);
    user.setSecretKey(newSecretKey);
    
    // 更新用户信息，如果更新失败，则抛出异常
    boolean result = this.updateById(user);
    if (!result) {
        throw new BusinessException(ErrorCode.SYSTEM_ERROR, "生成失败");
    }
    
    // 返回包含新生成的访问密钥和密钥ID的对象
    return new UserAkSk(newAccessKey, newSecretKey);
}

3、使用accessKey和secretKey进行签名认证

编写生成签名工具类，使用sceretKey+body进行签名，将签名放入请求头中，在认证方使用相同的签名方法进行验证，达到确认身份的效果。

/**
 * 签名工具
 */
public class SignUtils {

    /**
     * 根据请求体和密钥生成签名。
     * 
     * @param body 请求体字符串，参与签名计算的一部分。
     * @param secretKey 私钥，用于签名计算，保证签名的唯一性和安全性。
     * @return 返回生成的签名字符串。
     */
    public static String getSign(String body, String secretKey) {
        // 使用MD5算法创建Digester实例，用于计算签名的哈希值
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        // 将请求体和密钥拼接成字符串，作为计算签名的输入
        String content = body + "_" + secretKey;
        // 计算拼接字符串的MD5哈希值，并返回作为签名
        return md5.digestHex(content);
    }
}