摘要算法主要是对一串数据(原始数据)生成固定长度的字符串(摘要)。它是一种不可逆的操作,即通过摘要不能获取到原始数据(彩虹表不算是解密),因为摘要操作会丢失数据的原始信息。常见的摘要算法有:MD5,SHA等。
记得刚开始工作的时候,提供的http接口校验token就是MD5,双方使用相同的salt,如果md5一致 就说明签名合法。
现在对接一些厂商的接口时发现签名都用SHA1withRSA(或更高版本)了。心想使用MD5不行么?反正也只有我知你知。除了MD5本身安全性的问题,还有一个就是MD5没法验证身份。虽然只有你知我知,但是我是可以伪造你的请求的。所以之前的md5的方式只是一个摘要验证,不是签名。签名是代表了具体是哪个人的,别人是不能伪造的。即便是A调B的接口,B是没法伪造的,因为只有A知道密钥。
SHA1withRSA是签名算法。具体流程是对数据先SHA获取到散列码,然后进行相关的补齐操作,然后再进行RSA得的加密操作。RSA是非对称加密的方式,在签名场景中,没必要对所有数据进行加密,只需要对sha生成的短小的数据进行加密就可以了。接收方使用对应的公钥进行验签就可以了。这样的请求也只有拥有密钥的一方才能发送出来,任何人都伪造不了。
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
