java API接口签名授权安全认证问题

最新推荐文章于 2024-05-31 17:28:17 发布
最新推荐文章于 2024-05-31 17:28:17 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: java 工具 API Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xulong5000/article/details/120020578
版权
Java 同时被 3 个专栏收录
56 篇文章 1 订阅
订阅专栏
API
26 篇文章 0 订阅
订阅专栏
java 工具
22 篇文章 0 订阅
订阅专栏

1:使用开源的jar包

API-Signed: 一个轻松实现API签名校验的库。 (gitee.com)

本地下载源码:E:\JavaCode\java-API签名校验

2:该jar 包操作说明

本仓库包含以下内容:

  1. 签名校验的源码
  2. 基于Spring boot的web示例
  3. 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。
    该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。
    同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。

 3:操作流程 集成jar包

1. 添加 maven 依赖

<dependency>
    <groupId>cn.oever</groupId>
    <artifactId>api-signed</artifactId>
    <version>0.0.1</version>
</dependency>

2. 添加配置信息

YAML格式:

oever:
  signature:
    time-diff-max: 300
    algorithm: HmacSHA1
redis:
  host: 127.0.0.1
  port: 6379

如果使用properties格式配置文件, 那它应该看起来是这样:

oever.signature.time-diff-max=300
oever.signature.algorithm=HmacSHA1
redis.host=127.0.0.1
redis.port=6379
参数说明
time-diff-max调用方与服务器时间戳允许的最大差值
algorithmMAC算法的标准名称, 可以参阅 Java Cryptography Architecture Reference Guide 中的附录A

另外, 本项目使用Redis作为缓存的实现。

3. 添加扫描注解

@SpringBootApplication
@SignedScan
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

@SignedScan注解添加到启动类, 以引入相关实现。
到此为止, 已经完成了全部的配置, 可以尝试实现一个进行签名校验的API了。

4. 签名校验接口

@RestController
@RequestMapping("api")
@SignedMapping
public class TestController {

    @RequestMapping("test")
    public String test(@RequestBody SignedParam signedParam) {
        
        // the request data is signedParam.getData() in JSON
        // then do something in service
        return "SUCCESS";
    }
}

如上, 只需要在接口上使用@SignedMapping注解, 且请求参数为SignedParam类, 即可实现对签名的校验。
@SignedMapping注解既可以作用于类, 也可以作用于单独的方法。
当然, 对于部分需求, 或许默认的SignedParam类中的参数并不能满足, 甚至有可能需要自己实现一套加密规则, 可以参见自定义

Usage

名称取值
appIdAPP_ID_TEST
appSecretAPP_SECRET_TEST

1. 请求说明

1.1 请求方式

POST

1.2 请求参数

名称类型说明
dataString取值与具体请求接口相关, 格式为JSON体的字符串形式
appIdString分配给调用方的ID
timestampLong10位时间戳, 若调用方与服务端时间相差过大, 将拒绝本次请求
nonceInteger随机整数, 与timestamp联合使用以防止重放攻击
signatureString用于验证此次请求合法性的签名

2. 签名方法

2.1. 参数排序

将请求参数依据参数名称(首字母小写)的ASCII序进行升序排列, 参与排序的参数包括除signature以外的所有请求参数。
业务请求参数的数据为JSON对象时, 需要将其转化为字符串再参与排序和签名计算。
例如, 请求参数为:

{
  "userId": "test"
}

则, 完整的请求参数列表: 名称|取值|说明 ---|---|--- data|"{\"userId\":\"test\"}"|请求参数 appId|APP_ID_TEST|测试ID nonce|-2028703096|随机整数 timestamp|1597415679|发起请求时的时间戳 signature|待计算|签名值

则排序后的结果为:

{
  "appId": "APP_ID_TEST",
  "data": "{\"userId\":\"test\"}",
  "nonce": -2028703096,
  "timestamp": 1597415679
}

2.2. 参数拼接

将排序后的请求参数依照参数名=参数值的形式格式化, 然后将各个参数依序用&符号拼接在一起, 得到待签名字符串plainText

appId=APP_ID_TEST&data={"userId":"test"}&nonce=-2028703096&timestamp=1597415679

2.3. 生成签名

以HMAC-SHA1算法为例对plainText进行加密, 再使用Base64对加密后的字节流进行编码, 即得到了最终签名signature

signature=base64_encode(hash_hmac('sha1', $plainText, $appSecret, true));

2.4. cURL示例

curl -v -X POST "127.0.0.1:8080/example/base" -H "Accept: application/json"  -H "Content-Type: application/json; charset=utf-8" -d '{"data":"{\"userId\":\"test\"}","signature":"tFACzWpdduGputwIzxffmkJwij8=","appId":"APP_ID_TEST","nonce":-2028703096,"timestamp":1597415679}'

Custom

1. 自定义请求参数

以我们默认实现的请求参数类为例:

@SignedEntity
public class SignedParam {
    @SignedAppId
    private String appId;
    private String data;
    @SignedTimestamp
    private long timestamp;
    @SignedNonce
    private int nonce;
    @Signature
    private String signature;
    
    // getter and setter...
}
注解说明
@SignedEntity标注了该类为一个需要进行签名计算的请求参数类
@SignedAppId标注了该字段为调用方的AppId, 我们将使用此字段的值获取对应的AppSecret进行签名的计算
@SignedTimestamp标注了该字段为请求的时间戳, 以检查调用方与服务器的时间差
@SignedNonce标注了该字段为一个随机数, 和时间戳联合使用以防止重放攻击
@SignedIgnore标注了该字段不参与签名的计算
@Signature标注了该字段为调用方计算出来的签名, 该字段并不会参与签名的计算, 而是其他字段计算得出签名后与该字段进行比较

其中, 未使用任何注解的data字段为JSON格式的字符串, 用于业务逻辑处理, 该字段仍参与签名计算。

2. 自定义校验规则

2.1. 实现

继承BaseSignedService并重写需要修改的方法

方法参数列表参数说明返回值方法说明
getAppSecretString appIdappIdString appSecret通过appId获取对应的appSecret, 默认实现使用Redis, 如果使用其他缓存, 可以重写此方法
isTimeDiffLargelong timestamp时间戳void判断调用方与服务器的时间差值是否超过设定的最大值, 若超出, 则抛出异常
isReplayAttackString appId, long timestamp, int nonce, String signatureappId, 时间戳, 随机数, 签名void通过appId + 时间戳 + 随机数作为键, 签名作为值, 每次请求进行判重并缓存, 如存在, 则抛出异常
getSignatureString appId, Map mapappId, 参与计算签名的参数String signature通过appId和需要计算签名的参数列表, 计算签名, 如果需要自定义加密规则, 可以重写该方法
entryObject obj请求参数的实体类void入口方法, 该方法依次调用了参数的非空判断, 时间差, 是否重放攻击, 与签名的计算。如果需要增加或修改额外的验证步骤, 可以重写此方法。如果只需要以上步骤中的一步或几步, 更好的做法是重写不需要的方法并留空

2.2. 使用

然后, 在使用@SignedMapping注解的地方, 添加自定义的类作为参数, 如:

@RequestMapping("test")
-@SignedMapping
+@SignedMapping(CustomizeSignedService.class)
public String test(@RequestBody SignedParam signedParam) {
    
    return "SUCCESS";
}

此时, 签名校验将被自定义类中重写的方法所接管。
在example中, 可以看到默认实现, 自定义参数, 自定义实现三种例子。
并且每一种例子都提供了签名生成与签名校验两个接口, 可以自行尝试。

xulong5000
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java app接口安全认证_Java生鲜电商平台-开放API接口签名验证(小程序/APP)
weixin_36210213的博客
02-13 473
Java生鲜电商平台-开放API接口签名验证(小程序/APP)说明:在实际的生鲜业务中,不可避免的需要对外提供api接口给外部进行调用. 这里就有一个接口安全问题需要沟通了。下面是干货:接口安全问题请求身份是否合法?请求参数是否被篡改?请求是否唯一?AccessKey&SecretKey (开放平台)请求身份为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于...
java api安全验证_关于java:保证接口安全性开放-HTTP-API-接口签名验证
weixin_28993311的博客
02-23 617
接口平安问题申请身份是否非法?申请参数是否被篡改?申请是否惟一?AccessKey&SecretKey (开放平台)申请身份为开发者调配AccessKey(开发者标识,确保惟一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜想)。避免篡改参数签名依照申请参数名的字母升序排列非空申请参数(蕴含AccessKey),应用URL键值对的格局(即key1=value1&amp...
Java安全API
weixin_30784141的博客
04-16 487
java提供了完整的密码学API,我们可以结合密码学相关的概念来系统的学习这些API。 1.密码学简介(crypto) 密码学通俗来说就是研究如何对信息进行加密和破密,如果不是专门研究信息安全,通常我们只需学习和使用加密的方法,所以破密的相关知识我们可以忽略。 2.加密(Encrypt) 单以加密来说,密码学可以分为经典密码学和现代密码学,经典密码学的重点在于加密算法,利用移位,替换等方法对信息进...
Java生鲜电商平台-开放API接口签名验证(小程序/APP)
最新发布
TinagirlAPI的博客
05-31 1041
安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一?
Java API接口签名认证
wFitting的博客
11-13 4943
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行
java实现接口签名
灰太狼
06-06 2628
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。 ...
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的第三方滥用。在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人攻击等。签名验证...
java springboot 电子签名 文件发送自己签加密
04-12
我们可以利用Spring Security来处理安全问题,如用户认证授权,同时结合Spring MVC处理HTTP请求,实现文件的上传、下载和签名功能。 对于文件发送,Spring Boot可以通过集成Spring Web或者Spring Integration来...
Java数字签名提供XML安全.doc
10-08
如果失败,则可能存在安全问题。 在实际应用中,XML数字签名广泛应用于金融交易、政府通信、软件发布等领域。例如,当税务部门接收企业提交的员工薪资XML文件时,可以通过验证数字签名来确保文件的真实性,防止欺诈...
mima.rar_java 认证
09-23
Java提供了一套强大的安全框架,包括Java Cryptography Extension (JCE) 和 Java Security API。这些API允许开发者执行各种密码学操作,如加密、解密、数字签名以及哈希计算。在网站登录认证中,通常会涉及到哈希和...
java类似蒲公英超级签名的后台完整实现.zip
06-18
4. **接口设计**:为了对外提供服务,后台需要提供API接口,供前端或者客户端调用,提交APK,获取签名后的APK下载链接,或者推送信息。 5. **安全控制**:确保签名过程中的安全性,防止私钥泄露,以及对访问和使用...
java接口安全怎么处理_Restful API 接口安全性设计
weixin_35701002的博客
02-26 950
1.API接口设计规范2.安全性设计a.白名单限制仅接受特定系统的请求响应,调用方的IP地址需要在本系统中报备,否则无法调用b.合法身份合法性验证Basic Authentication :这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。TOKEN认证:这种方式也是再HTTP头中,使用 Author...
java 签名_java接口签名(Signature)实现方案续
weixin_36469682的博客
02-12 791
v一、前言由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行签名,并不能指定某些数据进行签名。v二、签名规则1、线下分配appid和appsecret,针对不同的调用方分配不同的ap...
HMAC API 接口签名 Message安全验证
心猿意码
05-21 1406
什么是HMACHMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 为什么需要API接口签名? 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能...
项目级Java接口签名与验证实现
sumu_的专栏
06-05 5725
在一些项目中,客户端在调用服务的接口时,通常需要设置签名验证,以保证对客户端的认证。在签名过程中一般每个公司都有自己的签名规则和签名算法,广泛使用的是使用非对称加密算法RSA为核心,在客户端使用私钥对参数进行加密生成一个密钥,传给服务端,然后在服务端再对这个这个密钥使用公钥进行解密,解密出来的字符串参数与客户端传过来的参数进行对比,如果一样,验证成功。 总结起来就是: 客户端          -   首先获取所有的参数,然后对他们进行排序,生成
API:Sign签名的执行流程
09-19 207
  Sign签名存在目的:为了防止不法分子修改参数数据,进而攻击服务器,导致数据泄露或从中获得利益           例如:一个接口是用户把积分转帐给他的朋友,修改后,变为转帐到攻击者的帐户,这样,攻击者就能得到利益啦   Sign执行流程:   客户端:当客户请求服务器前,会定义请求参数,通过这些参数,会生成一个Sign签名,生成签名之后,和参数一起放进请求头里...
使用Java 注解完成权限验证
码农杰森
05-19 965
深入使用Java 注解完成权限验证概述如何定义与使用注解元注解@Retention@Target@Inherited@Repeatable注解的属性注解的本质 概述 Java 注解用于为 Java 代码提供元数据。作为元数据,注解不直接影响你的代码执行,但也有一些类型的注解实际上可以用于这一目的。Java 注解是从 Java5 开始添加到 Java 的。 注解在Java中也被定义为一种类型;使用关键字@interface进行定义,定义的格式与interface基本相同 如何定义与使用注解 定义一个MyAnn
kong笔记——使用hmac auth
罗伯特是疯子丶
02-25 2060
hmac简述 hmac是Hashing for Message Authentication的简写,可以用来保证数据的完整,客户端把内容通过散列/哈希算法算出一个摘要,并把算法和内容以及摘要传送给服务端,服务端按照这个算法也算一遍,和摘要比一下如果一样就认为内容是完整的,如果不一样就认为内容被篡改了。 关于Kong的hmac说几点 Clock Skew 使用Kong的hmac后,请求必须带有Date和x-date请求头,这个是防止重放攻击(Replay Attacks),默认的情况下,客户端传过来的时间和
API常用签名验证方法(PHP实现)
Anzexi123的博客
07-27 630
现在越来越多的项目使用的前后端分离的模式进行开发,后端开发人员使用API接口传递数据给到前端开发进行处理展示,在一些比较重要的修改数据接口,涉及金钱,用户信息等修改的接口如果不做防护验证,经常容易被人恶意刷接口,导致巨大的损失。3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要(hash)签名进行base64_encode编码(便于显性传输和对比),假设签名密钥为 test ,则提取出的摘要签名进行base64_encode的值为。请求的唯一性:计算出的签名是唯一的,可以用来验证。
java第三方开放api接口签名
07-12
Java中,可以使用以下步骤对第三方开放API接口进行签名: 1. 获取API请求参数。 根据API接口文档,获取需要包含在请求中的参数。这些参数通常包括身份验证参数(如appKey、appSecret等)和业务参数(如请求方法、时间戳、随机数、数据等)。 2. 对参数进行排序。 将获取到的参数按照参数名进行字典排序,可以使用TreeMap或自定义比较器来实现。 3. 拼接参数字符串。 将排序后的参数按照key=value的形式拼接成字符串,不包括特殊字符,如空格、换行等。 4. 生成签名。 将拼接后的参数字符串与密钥(appSecret)进行加密生成签名。常见的加密算法有MD5、SHA1HMAC等,具体使用哪种算法取决于API接口的要求。 5. 将签名加入请求参数。 将生成的签名添加到请求参数中,一般以sign或signature为参数名。 6. 发送请求。 将包含签名的请求参数发送到API接口地址。 请注意,以上步骤是一种通用的签名方式,具体的签名方法可能会因API接口的要求而有所不同。在使用第三方开放API接口时,建议参考具体的接口文档或开发者指南,以获取准确的签名方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值