API-接口安全签名(三)

最新推荐文章于 2020-05-06 15:37:30 发布
最新推荐文章于 2020-05-06 15:37:30 发布
阅读量291 收藏
点赞数
分类专栏: API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xulong5000/article/details/93599916
版权

签名校验方法:MD5Verify

1:首先需要解决参数排序一致问题,

2:参数全部转换位大写或者小写,

3:对象里面嵌套对象时,需要使用到递归

4:对象序列化

 public static string MD5Sign(Object obj, string secretKey, List<string> ignoreProps = null)
        {
            try
            {
                if (obj == null)
                    throw new Exception("obj签名对象为空");
                //首字母小写
                JsonSerializerSettings settings = new JsonSerializerSettings();
                settings.ContractResolver = new CamelCasePropertyNamesContractResolver();
                settings.Formatting = Formatting.Indented;
                string jsonStr = JsonConvert.SerializeObject(obj, settings);
                if (string.IsNullOrEmpty(jsonStr))
                    throw new Exception("obj序列化失败");
                var dicParameters = GetParameters(jsonStr, ignoreProps);
                if (dicParameters == null || dicParameters.Count <= 0)
                    throw new Exception("签名参数有误");
                var signStr = string.Join("&", dicParameters.OrderBy(o => o.Key).Select(o => string.Format("{0}={1}", o.Key, o.Value)));
                return EncryptUtil.MD5Hash(signStr + "&key=" + secretKey);
            }
            catch (Exception ex)
            {
                AppLog.Write(string.Format("调用接口【{0}/{1}】异常:{2}", "SignUtil", "MD5Sign", ex.Message), LogMessageType.Error, ex);
                return null;
            }
        }

 

方法二:

        private static Dictionary<string, string> GetParameters(string jsonStr, List<string> ignoreProps)
        {
            JObject jboj = JsonConvert.DeserializeObject<JObject>(jsonStr);
            return GetParameters(jboj, ignoreProps);
        }

方法三:

 /// <summary>
        /// 字典参数获取
        /// </summary>
        /// <param name="jsonStr"></param>
        /// <param name="ignoreProps"></param>
        /// <returns></returns>
        private static Dictionary<string, string> GetParameters(JObject jboj, List<string> ignoreProps)
        {
            Dictionary<string, string> dic = new Dictionary<string, string>();
            foreach (KeyValuePair<string, JToken> item in jboj)
            {
                //剔除忽略属性
                if (ignoreProps != null && ignoreProps.Where(o => item.Key.Equals(o)).Count() > 0)
                {
                    continue;
                }
                JToken jToken = item.Value;
                var jTokenType = jToken.Type;
                string value = string.Empty;
                //value = JsonConvert.SerializeObject(item.Value);
                //对象和数组单独处理
                if (jTokenType == JTokenType.Object)
                {
                    value = JsonConvert.SerializeObject(item.Value);
                }
                else if (jTokenType == JTokenType.Array)
                {
                    value = ArrayToString(item.Value);
                }
                else if (jTokenType == JTokenType.Float)
                {
                    //value = JsonConvert.SerializeObject(String.Format("{0:F}", item.Value.ToString()));;
                    string valueset = JsonConvert.SerializeObject(item.Value);
                    value = Convert.ToDecimal(valueset).ToString("0.00####");
                }
                else
                {
                    value = item.Value.ToString();
                }
                //bool true和false首字母会转大写
                if (value == "False" || value == "True")
                {
                    value = value.ToLower();
                }
                dic.Add(item.Key, value);
            }
            dic.Remove("Sign");
            dic.Remove("sign");
            return dic;
        }

方法四:

private static string ArrayToString(JToken jToken)
        {
            List<string> list = new List<string>();
            Dictionary<string, string> dicParameters = new Dictionary<string, string>();
            StringBuilder signStr = new StringBuilder();
            foreach (var item in jToken)
            {
                signStr.Append("{");
                dicParameters = GetParameters(item as JObject, null);
                if (dicParameters == null || dicParameters.Count <= 0)
                    throw new Exception("签名参数有误");
                signStr.Append(string.Join("&", dicParameters.OrderBy(o => o.Key).Select(o => string.Format("{0}={1}", o.Key, o.Value))));
                signStr.Append("}");
            }
            if (dicParameters == null || dicParameters.Count <= 0)
                throw new Exception("签名参数有误");
            //var signStr = string.Join("&", dicParameters.OrderBy(o => o.Key).Select(o => string.Format("{0}={1}", o.Key, o.Value)));
            return "[" + signStr + "]";
        }

xulong5000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot(八十一):Sa-Token快速实现API接口签名安全校验
u013938578的博客
07-18 2821
不限制请求的参数数量,方便组织业务需求代码。自动补全 nonce、timestamp 参数,省时省力。自动构建签名,并序列化参数为字符串。一句代码完成 nonce、timestamp、sign 的校验,防伪造请求调用、防参数篡改、防重放攻击。
SpringBoot接口 - API接口有哪些不安全的因素?如何对接口进行签名
m0_71777195的博客
07-18 849
***/}
API接口安全策略文档
06-29
 1.目标 防伪装攻击:第方恶意调用接口。 防篡改攻击:请求在传输过程被修改。 防重放攻击:请求被截获后,被多次重放。 防数据信息泄漏:被截获到系统数据,例如账号、密码、交易信息等。 
接口安全签名
aa233510的博客
06-01 3378
1.   接口请求采用https的post方式,返回信息全部采用json格式报文。 2.   请求和返回报文双方约定采用UTF-8编码,并对请求参数做URLEncoder。 3.   签名规则(签名在URLEncoder之前做。) 4.   商户密钥  207b6c6843a20c4acf7e8583b9d463c6 签名规则: 第1步:  将所有参数(注意是所有参数),除去sign本
API-接口安全签名(二)
xulong5000的专栏
06-25 321
在做项目的时候,大家都都会遇到调用其他项目接口,或者被其他项目接口调用,这里面就会涉及到 网络传输过程,数据在网络转输的过程中如何保证数据的安全, 遇到的问题: 1:数据被拦截后,就可以获取调用接口的方法,以及参数信息,这个时候如果设计到一些私密信息,就会信息泄露 2:如果被拦截后被恶意攻击,那么服务就会导致内存溢出,甚至服务瘫痪,这种情况严重的会直接导致业务无法进行 3:...
遍历接口参数,自动计算url并进行签名
08-18 120
我们先选个接口,如路径规划接口,会出现Fromx ,y;Tox,y。两种参数,分别要所有城市进行便利(所有城市坐标经纬度,可以通过爬虫从高德地图上爬下来),具体方法请搜博客园 代码如下: #encoding:utf-8 #遍历所有城市路径规划的测试脚本 from xlutils.copy import copy import urlparse, copy,urllib,xlrd,
API签名搞这么复杂,什么鬼?
weixin_33719619的博客
03-15 228
如果你使用过阿里云的云产品的API或者API网关,你会发现API签名是件比较难以搞定的事情。为什么要搞这么复杂? 他们是怎么签名的 两种类型的API都如何签名,点击查看详细API网关签名、云产品签名(以Ecs为例) 看完签名文档,你会发现,两种API都是需要用户,使用密钥对排序后的请求全部内容(注意:是全部内容,包括请求的Method、HEADERS、U...
接口签名
weixin_34146410的博客
12-23 70
  1、下发唯一token2、验证码3、自定义协议4、增加算法复杂度、破解成本  
icbc-api-sdk-cop_v2_20210224.zip
04-01
开发者需要将这些库引入到项目中,以便调用相应的API接口。 2. **工具类**:"config"目录可能包含了配置文件和一些辅助工具类,用于帮助开发者配置API的访问参数、签名算法等,简化开发过程。 二、应用场景 1. **...
Api接口TOKEN+签名安全.zip
11-26
下面我们将详细讨论这两个概念以及它们在API接口安全中的应用。 1. **Token鉴权**: - **JWT(JSON Web Tokens)**:JWT是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息...
从文件读取json数据拼接成待签名字符串,用sha256进行签名,得到签名字符串
sunny_happy08的博客
06-01 3926
如题,贴code# -*- coding: utf-8 -*- # version python 3.5 import hashlib import json import sys def loadMessage(file): f = open(file) #设置以utf-8解码模式读取文件,encoding参数必须设置,否则默认以gbk模式读取文件,当文件中包含中文时,会报错 ...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
安全优雅的RESTful API签名实现方案
weixin_30929295的博客
06-20 1390
安全优雅的RESTful API签名实现方案 1、接口签名的必要性 在为第方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。 2、项目中签名方案痛点 每个接口有各自的签名方案,不统一,维护成本较高。 没有对消息实体进行签名,无法避免数据被篡...
java接口签名(Signature)实现方案
aipiannian6725的博客
09-30 2711
预祝大家国庆节快乐,赶快迎接美丽而快乐的假期吧!!! 前言   在为第方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案java接口签名(Signature)实现方案续。 签...
接口鉴权+接口签名
奇葩也是花
05-06 2314
接口鉴权的实现 【 微信公众号中,不同类型的公众号有不同的权限。 】 如何实现: 借助了appid和appsecret。 接口如何实现鉴权? 1、给每个客户端下发一个appid和appsecret 2、接口端给每个客户端设置不同的权限 3、客户端请求接口的时候,接口端根据客户端传递的appid,找到客户端对应的权限 4、判断用户是否具备调用该接口的权限。 为什么要做接口签名? 防止数据被篡改 ...
接口签名认证思路
super桐的博客
09-19 3364
列子: 登陆接口 一、调用接口方 需要给接口传  两个 参数 1、签名认证:  sign 签名认证->  将html接过来的的数组进行排序 然后 转换成json串,将json串MD5加密 拼接上 接口端下发的app_keys  再次进行MD5加密!!! 2、用户登陆信息:  data 就是用户登陆的信息 和 app_id 二、接口
JSON 接口如何实现 RSA 非对称加密与签名
findhappy117的博客
09-23 2227
代码地址如下:http://www.demodashi.com/demo/14000.html ###一、概述 1、 数字签名的作用:保证数据完整性,机密性和发送方角色的不可抵赖性,加密与签字结合时,两套公私钥是不同的。 2、加密是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点是加密算法,加密算法可以分为类: ....
常用API接口签名验证参考
weixin_33910385的博客
05-10 984
项目中常用的API接口签名验证方法: 1. 给app分配对应的key、secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值