API-接口安全签名(一)

最新推荐文章于 2024-07-25 15:39:03 发布
最新推荐文章于 2024-07-25 15:39:03 发布
阅读量654 收藏
点赞数
分类专栏: API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xulong5000/article/details/93596784
版权

1:先上一个简单的安全签名示例:该例子是一个简单的联合登入 功能的api安全校验。

下面是签名方法:

注意:getsign里面的参数 是调用方 传来的数据,

method,api_version是 一些常量,商量好传来的参数,需要校验参数是否正确。

uname ,password  是用户名跟密码。需要在登入页面里面做实际操作,

token:是跟调用方商量好的常量。不放在参数里面。只需要双方在加密的时候在 加密字符串里面加上该参数即可

一般加密使用MD5 不可逆转加密。一般不建议 使用对称加密,对称加密都可以反加密出字符串,这样就有可能被破解接口调用方法。

 

/// <summary>
        /// 获取签名
        /// </summary>
        /// <param name="method"></param>
        /// <param name="api_version"></param>
        /// <param name="uname"></param>
        /// <param name="password"></param>
        /// <returns></returns>
        public static string getSign(string method, string api_version, string uname, string password)
        {
            string resultStr = string.Empty;
            Dictionary<string, string> parameterList = SetParameterList(method, api_version, uname, password);
            StringBuilder strBuild = new StringBuilder();
            foreach (var str in parameterList)
            {
                strBuild.Append(utf8_string(str.Key));
                strBuild.Append(utf8_string(str.Value));
            }

            //进行第一次MD5加密 Begin
            //获取token值
            string token = ConfigHelper.GetConfigString("mall.Token");
            strBuild.Append(utf8_string(token));
            string parameters = strBuild.ToString();
            string resultStr0 = Md5Encry(parameters);
            //End

            //进行第二次MD5加密 Begin
            resultStr = Md5Encry(resultStr0);
            //End

            return resultStr;
        }

 

 

/// <summary>
        /// MD5 32位加密
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        internal static string Md5Encry(string str)
        {
            string cl = str;
            string resultStr = "";
            MD5 md5 = MD5.Create();//实例化一个md5对像
            // 加密后是一个字节类型的数组,这里要注意编码UTF8/Unicode等的选择
            byte[] s = md5.ComputeHash(Encoding.UTF8.GetBytes(cl));
            // 通过使用循环,将字节类型的数组转换为字符串,此字符串是常规字符格式化所得
            for (int i = 0; i < s.Length; i++)
            {
                // 将得到的字符串使用十六进制类型格式。格式后的字符是小写的字母,如果使用大写(X)则格式后的字符是大写字符
                resultStr = resultStr + s[i].ToString("X2");
            }
            return resultStr;
        }

xulong5000
关注
专栏目录
API接口安全策略文档
06-29
综合以上策略,一个完整的API接口安全方案可能包括以下步骤: 1. 分配APP ID和Secret,以及RSA公钥。 2. 生成随机的AES密钥。 3. 请求头包含时间戳、流水号、APP ID、RSA加密的AES密钥和签名。 4. 签名算法为:AES...
在前端爬虫或者插件中,淘宝API/接口调用里签名算法sign是如何实现的?
guoqkmiss的博客
03-08 4263
淘宝API/接口调用里签名算法 sign 在做插件或者爬虫调用淘宝接口或者淘宝API 的时候,都需要一个叫 sign签名字段,淘宝叫他API输入参数签名结果,一般是一个 md5 加密之后的签名。 为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,TOP服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝。 TOP目前支持的签名算法有三种:MD5(sign_method=md5),HMAC_MD5(sign_method=hmac),HMAC_SHA256(sign_
python对接口sign签名操作
jjxp2011的专栏
04-21 1218
描述 一般公司对外的接口都会用到sign签名,对不同的客户提供不同的apikey ,这样可以提高接口请求的安全性,避免被人抓包后乱请求。 sign签名是一种很常见的方式 #!/usr/bin/env python # -*- coding:utf-8 -*- import urllib.parse import hashlib import requests import json #_______________________签名方式一___________________________..
API签名及加密方式详解
最新发布
Explinks的博客
07-25 724
本文将从专业的角度来进行全面解析,从技术角度对API签名方式,加密方式等进行详解。
谈谈HTTPS演变过程
weiwenhou的博客
10-02 296
前言本文谈谈HTTPS设计演变过程,希望对大家理解HTTPS有帮助,有不对的地方欢迎指出。密码学基础知识在讨论HTTPS之前,需要掌握一些密码学基础概念。明文、密文、密钥...
python接口自动化 -10. 接口签名处理(加密接口
weixin_45246215的博客
03-23 1256
通过抓包把请求的请求头和请求参数抓下来,通过postman或者jmeter测试(每次抓包,参数都是固定,但是签名随着请求参数变化而变化,每请求一次就就要抓包一次,也难搞。也就是说,没有处理好签名,就不能进行下一步。询问开发具体的加密过程,复写一套加密算法,自己生成加密数据(过程有可能比较复杂,但是如果你跟开发关系好就不复杂,或者你直接看开发代码,加密,解密算法自己整一套);服务端与客户端进行http通讯时,为了防止被爬虫,数据安全性等,传参数的时候,不会明文的传输,先对接口加密,返回的数据也加密返回。
对get方式的参数,如何添加签名,防止数据被篡改或泄露
JadePlus的技术博客
07-22 7546
例如查询用户id为1的个人信息,一般的URL为:http://www.mydomain.com/index.php?act=get_user_info&uid=1 这种情况下查询该用户的个人信息是没有问题的,当这个链接在没有用户登录的限制的状态下也可以查询显得很危险了,因为通过修改uid=1,就可以查询uid=2,uid=3的用户信息,这会导致系统的用户信息泄露,当然我只是用查询用户信息做个例子
Api接口TOKEN+签名安全.zip
11-26
下面我们将详细讨论这两个概念以及它们在API接口安全中的应用。 1. **Token鉴权**: - **JWT(JSON Web Tokens)**:JWT是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息...
航班管家OPEN-API接口说明
11-01
"航班管家"作为一款知名的出行服务应用,提供了OPEN-API接口,允许开发者通过调用这些接口来获取航班信息、预订机票等服务,从而为用户提供更加便捷的出行体验。下面我们将详细探讨“航班管家OPEN-API接口”的相关...
Python-Api签名验证样例
08-10
API(应用程序编程接口)开发中,为了确保数据的安全传输,通常会采用签名验证机制。本文将详细探讨Python中API签名验证的相关知识点,以"Python-Api签名验证样例"为例,结合`flask-apiSign-demo-master`这个...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
APKSign apk签名工具
04-06
这个工具可以用于android系统的 apk文件签名
getsign.rar
03-01
可以得到apk的签名信息、HashCode,支持拖放。
api 接口调用,签名验证方法总结 Token
David_jiahuan的博客
05-27 4225
服务端开发了一个接口,客户端来调用这个接口,常用的方法有: 一、get请求,直接将需要的参数写在url链接里面: http://api.services.com/queryDatas?param_1=value_1&param_2=value_2... 这种方式虽然简单直接,但是容易被别人任意调用来获取相关的数据信息; 二、将参数和安全密钥拼接后进行签名,然后调用接口的方式: 1、客户端申请调用服务,然后服务端给客户端分配对应的 accesskey 和 secretKey; 2、用户.
【日常业务开发】关于接口对接涉及的参数签名规则以及HttpClient、HttpUriRequest
qq_45248284的博客
10-11 289
关于接口对接涉及的参数签名规则以及网络的HttpClient、HttpUriRequest
【java】java接口安全接口签名
YuChen
11-28 3131
自定义的接口签名解签工具类
klee(2): 实验详解 get_sign.c
wwjlovecyndi的博客
11-17 550
参考:https://blog.csdn.net/u013648063/article/details/109548600 Tutorial 1: 官网链接:http://klee.github.io/tutorials/testing-function/ int get_sign(int x) { if (x == 0) return 0; if (x < 0) return -1; else return 1; } 这个函数有个参数x作为输入,我们用符号化的
Android逆向入门3——怎样才能找到sign算法
lilac的博客
07-24 8566
鸽鸽鸽 明天更新
某高速小程序获取sign
qianmang的博客
04-10 3903
1.准备工具 a) 已经root的Android手机 b) 电脑 c)抓包工具fiddler,自行百度下载 d)微信开发者工具,自行百度下载 e)node.js 我的是v14.16.1 f)WebStorm 最好下载一个配合微信开发者工具很好找代码 ,自行百度下载 2.分析 在小程序启动的时候抓包分析,发现有一个sign参数,在不登录帐号时,不同的时间,sign不变,就很可以猜想sign是本地生成的,因此只要反编译小程序就可以获知该算法。 3.反编译 查看小程序反编译. 4.定位关键代码 反
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值