实例-第三方接口签名加密

最新推荐文章于 2024-05-21 17:17:58 发布
最新推荐文章于 2024-05-21 17:17:58 发布
阅读量2.7k 收藏 21
点赞数 3
分类专栏: 实战 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiamofy/article/details/98651593
版权

title: 实例-第三方接口签名加密
date: 2019-08-06 19:32:21
categories:

  • 实战
  • 安全
    tags:
  • 安全
    top:

文章目录

总述

最近和第三方接口做对接,接口涉及到了签名和加密,因此在这里总结一下。签名和加密涉及对称加密、非对称加密、SSL等概念,可以在其他文章中参考。这里只做具体项目中实践的示例。

总体思路是用固定的key进行SHA1摘要签名,用对称加密的secret对数据进行aes加密。由于签名key和对称加密的secret是双方预先沟通好写死在代码里的,不像SSL需要在网络中传输,因此可以保证安全。

具体如下:

数据报文结构:

{
   
	"appid":"1a6dfe4b3a7740d1a37fa1615a3f6bd9",
	"nonce":"YSBuLCgvmdSdB3oS",
	"timestamp":1552900602924,
	"signature":"296a25e1d61b10d359b2893befc3a417d89b4708",
    "data":"sdfjasIOISADFLASlsdaf12142rsakdfsafjsawKJL34343"
}

发送过程:

  • 先加密:将String的data、秘钥、初始化向量转换为字节码,完成aes对称加密,再转换为Base64字符串。
  • 再签名:将**“所有数据” + “签名key”**根据一定规则(比如根据askall码排序)拼装成字符串,然后接用SHA1或者MD5进行摘要用作签名就OK了。由于有timestamp和nonce,因此可以防止签名key被破解。

接收过程:

  • 先验签:使用和签名同样的方式生成签名,然后对比数据的签名进行验签即可。
  • 再解密:将Base64字符串的data转换为字节码,再进行aes解密,再转换为String即可(Json字符串)。

由于appid在报文里是明文的,因此很容易根据appid获得验签和解密所需的签名key,以及秘钥和初始化向量。

下面进行具体解释。

签名算法

签名规则

签名规则如下:

  1. 将appid、timestamp、nonce、data及key不为null的字段值按ASCII码从小到大排序(字典序);
  2. 将排序后的字段值拼接成字符串;
  3. 对拼接后的字符串计算SHA1摘要,作为签名。

其中签名key由平台提供。

签名示例

签名key:Odgs!^36M$aAXrpp

请求体字段
appid “1a6dfe4b3a7740d1a37fa1615a3f6bd9”
nonce “YSBuLCgvmdSdB3oS”
timestamp 1552900602924
data null

  1. 将appid、timestamp、nonce、key及data不为null的字段值按ASCII码从小到大排序(字典序),因为data为null不加入签名计算,结果如下:

    请求体字段值
    1552900602924
    1a6dfe4b3a7740d1a37fa1615a3f6bd9
    Odgs!^36M$aAXrpp
    YSBuLCgvmdSdB3oS

  2. 将排序后的字段值拼接成字符串,结果如下:

    15529006029241a6dfe4b3a7740d1a37fa1615a3f6bd9Odgs!^36M$aAXrppYSBuLCgvmdSdB3oS

  3. 对拼接后的字符串计算SHA1摘要,签名如下:

    296a25e1d61b10d359b2893befc3a417d89b4708

签名后的请求体:

{
	"appid":"1a6dfe4b3a7740d1a37fa1615a3f6bd9",
	"nonce":"YSBuLCgvmdSdB3oS",
	"timestamp":1552900602924,
	"signature":"296a25e1d61b10d359b2893befc3a417d89b4708"
}

业务数据加/解密算法

加密规则
  1. 将业务数据序列化为JSON格式字符串;
  2. 通过AES加密算法和密钥、初始化向量对JSON格式字符串进行加密;
  3. 将加密结果进行Base64编码。
解密规则
  1. 将加密业务数据进行Base64解码;
  2. 通过AES解密算法和密钥、初始化向量进行解密;
  3. 获得JSON格式的业务数据。

其中加*/解密的密钥和初始化向量由平台提供,字符串均采用UTF-8*编码格式

代码示例

项目实际使用的签名、加密/解密代码如下:

import java.security.MessageDigest;
import java.security.Security;
import java.util.Arrays;
import java.util.Base64;
import java.util.stream.Collectors;

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;

import org.bouncycastle.jce.provider.BouncyCastleProvider;

import lombok.SneakyThrows;

public class SecurityUtil {
   
	public static
最低0.47元/天 解锁文章
h2linlin
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
第三方接口联调(加解密与签名验签)
thlzjfefe的博客
03-13 2684
工作中经常有和第三方机构联调接口的事情,顾将用到过的做以记录。 在和第三方联调时,主要步骤为:网络、加解密/签名验签、接口数据等,其中接口数据没啥好说的。 在联调前就需要先将两边的网络连通,一般公司的生产环境都加了防火墙,测试环境有的是有防火墙,有的则没有防火墙,这个需要和第三方人员沟通,如果有防火墙的就需要将我们的出口ip或域名发送给第三方做配置,配置了之后网络一般都是通的。 加解密与签名验签: 一般第三方公司都会有加解密或签名验签的,毕竟为了数据安全。一般就是三...
第三方接口加密规则
weixin_30724089的博客
07-21 475
@第三方接口加密规则 获得appid和secretKey php版签名算法 function getCarInfor(Request $request) { //构建请求参数体 $poss['appId'] = "你的app id"; $poss['keyword'] = $keywrord;//关键词 $poss['limit'] = $limit;// 条数 $uuid = Uuid::uuid1(); $poss['uuid'] = $u
第三方接口鉴权加密方式
最新发布
Assassinhanc的博客
05-21 736
接口URL应简洁明了,遵循公司或项目的命名规范。●使用HTTPS协议,确保数据传输的安全性。●接口URL路径应反映资源的层次结构,路径规范 /{版本}/api/{业务类型}/{方法名},例如/v1/api/store/getlist。●接口URL路径不区分大小写。
加密和验签
向阳而生
08-09 2660
区分签名加密的概念
接口鉴权,提供给第三方调用的接口,进行sign签名
weixin_40936508的博客
04-20 3689
//场景:公司要跟第三方公司合作,提供接口给对方对接,这样需要对接口进行授权,不然任何人都可以调我们公司的接口,会导致安全隐患: 思路: 在每个接口请求参数都带上ApiKey 和sign签名: 我们在对接前,给对方提供一个ApiKey 和密码secrect,这2个值随便自己定义,只要双方都约定好就行了: 对方要做的事情: 对请求参requestDTO 除sign签名字段外,转成JSON字符串...
接口签名
daixinmei
09-17 220
import cn.hutool.crypto.SecureUtil; import cn.hutool.json.JSONObject; import org.apache.commons.lang3.StringUtils; import org.springframework.stereotype.Component; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterCha.
加密 RSA 数字签名 数字证书 实例
04-29
数字证书是网络中身份验证的一种手段,通常由权威的第三方机构——证书颁发机构(CA)签发。它包含了拥有者的信息(如名称、公钥等)以及CA的数字签名。当用户接收到一个数字证书时,可以使用CA的公钥验证证书的合法...
身份证实名认证接口实例-php版参考.pdf
01-08
6. 状态码处理:在实名认证过程中,可能会出现多种状态码,例如 2001 表示正常服务,2002 表示第三方服务器异常,2003 表示服务器维护等。开发者需要根据不同的状态码进行相应的处理。 7. 代码示例:该服务提供了一...
58 登陆 rsa加密 fingerprint-易语言
06-14
开发者可能需要找到支持RSA的第三方库,或者自行实现这些功能。58.e文件很可能是一个易语言编写的程序,包含了实现RSA加密的具体代码。 "2018开源大赛(第三届)"标签表明这个项目可能是2018年一个开源编程竞赛的参赛...
单笔交易查询接口实例以及文档
09-27
- Java示例:Java通常使用HttpURLConnection或者第三方库如Apache HttpClient,同时使用Gson或Jackson库进行JSON解析。 - PHP示例:PHP可以使用cURL库进行HTTP请求,然后使用json_decode函数解析响应的JSON数据。 ...
仿淘宝签名认证 HMAC加密
04-11
接口调用场景中,这个签名可以作为额外的安全层,防止第三方篡改请求参数,保证交易或数据交互的安全。同时,仿淘宝接入意味着这个签名认证方式与淘宝的API兼容,适用于电商平台的开发者。 在提供的压缩包中,`...
Api接口签名规则
weixin_33728708的博客
07-31 1226
2019独角兽企业重金招聘Python工程师标准>>> ...
若依前后端分离加入签名验证
weixin_45729937的博客
05-10 981
若依前后端分离加入签名验证
接口测试必备技能 - 加密签名
软件自动化测试技术交流、资源分享
10-28 1741
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取
互联网API对接如何保证系统安全
FighterLiu的专栏
11-11 2605
目录 前言 网络方面的安全策略 系统部署 专线 数据传输方面安全策略 文件传输 实时接口 使用https协议 添加白名单 接口进行验签 接口数据进行加密 防止重放攻击 其它注意事项 幂等性 重复提交 前言 互联网金融系统经常需要提供一些对外的接口第三方调用,这些接口暴露在互联网中。如何才能保证API系统对接安全性?本文主要从网络及数据传输两个方面进行讲解。 网络方面的安全策略 系统部署 在互联网区域部署一个前置机,提供接口的服务部署在内网。外网不能直接调用内网..
springboot中如何优雅的对接口数据进行加密解密
FighterLiu的专栏
11-08 4689
在系统开发的过程中我们经常需要对外提供相应的API接口,为了保证系统数据的安全性,我们常常需要对传输的数据进行对称加密。防止数据在传输的过程中被抓包,造成信息的泄露。通常的做法是我们在每个接口方法的前面先对请求的数据进行解密,解密完成后处理相应的业务逻辑,然后在对返回数据进行加密。这样做的坏处是代码太过于冗余,每写一个接口都要处理加密和解密方法。有没有什么办法可以把加密和解密的逻辑提取出来,在接口的方法中我们只关注处理业务逻辑。答案肯定是有的,springboot中的RequestBodyAdvice 和
springboot项目接口加密
Crayon
03-10 4584
现在的项目都采用前后端分类的方式开发了,前后端的通讯方式都通过API进行传输。我们知道,如果是管理后台的开发,可以通过shiro或springSecurity进行权限控制,进而保证API接口安全性,但是,当我们在进行APP或小程序开发的时候,因为需要用户长期登录等问题,再采用shiro等方式进行安全控制就显得不是那么合理的。 可是,如何让我们的API接口变得安全点?不至于当其他人通过抓包的方式拿...
【若依】开源框架学习笔记 03 - 过滤器链
MichelleChung的星球
05-13 1739
文章目录WebAsyncManagerIntegrationFilterSecurityContextPersistenceFilterHeaderWriterFilterCorsFilterLogoutFilterJwtAuthenticationTokenFilterRequestCacheAwareFilterSecurityContextHolderAwareRequestFilterAnonymousAuthenticationFilterSessionManagementFilterExcept
基于ruoyi的自定义接口以及权限验证
weixin_72307907的博客
10-29 1795
接口和权限
java post第三方接口 multipart/form-data
08-12
你可以使用Java的HttpClient库来发送POST请求到第三方接口,并使用multipart/form-data格式来上传文件。下面是一个示例代码: ```java import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值