开放平台设计之接口签名认证

已于 2023-04-23 18:42:00 修改
阅读量1.7k 收藏 4
点赞数
文章标签: 服务器 运维 开放平台
于 2023-03-28 11:25:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybb_ymm/article/details/129811593
版权

目录

前言

签名认证

签名认证步骤:

下面以java代码举例:

DEMO

前言

当前时代,数据是王 道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台供第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!

签名认证

开放平台会为每一位注册用户分配一个对应账户API KEY和秘钥API SECRET。我们为了保证接口的安全性,用户在每次接口的调用都需要上传一个所谓的签名(基于API KEYAPI SECRET获取)

签名认证步骤:

  1. 首先生成一个Unix时间戳timestamp,时间精确到毫秒【即1970年1月1日(UTC/GMT的午夜)开始所经过的毫秒数】;
  2. 生成随机数nonce(注:目前定义的是32位的,可以通过随机数工具类生成) ;
  3. 1)将timestamp、nonce、API_KEY 这三个字符串依据“字符串首位字符的ASCII码”进行升序排列(排序过程中若出现ASCII码值相同的情况,则依次递增对下一位进行比较)(这种排序,”也就是俗称的字典序“),并将排序后的结果拼接成为一个字符串join_str;
    2)接下来在用API_SECRET对上面生成这个字符串join_str做hmac-sha256 签名,并且以16进制编码,得到signature
  4. 将上述得到的timestampnonce,signature,与 API_KEY按照 #{k}=#{v}并以 ',' 为区分拼接在一起形成新的字符串,这就是要返回签名认证字符串authorization;
  5. 当完成以上4步,我们就可以获取最终的签名认证字符串了。调用接口时,将通过签名认证步骤得到的值authorization 传给HTTP HEADER的Authorization对应的值;请求体部分按照相对应文档请求参数说明正确填写,正常发送请求,即可完成一次接口调用。

下面以java代码举例:

假设 API_KEY = "233453f1d1eb4eb5a5ad9c8dac0d02cc";
API_SECRETS = "444af44cd3a247c594438fb60d7b1d52";

1. 获得timestamp(unix时间戳),返回timestamp :"1633431976787"

实现方式:

 String timestamp = Long.toString(System.currentTimeMillis()); 

2. 获得随机nonce,返回nonce: "3isQFsTjsnNOLvIPXhf3HlW17WSfQqp9"

可用下面方式实现:

String nonce = RandomStringUtils.randomAlphanumeric(32);

3.将timestamp、nonce、API_KEY 这三个字符串依据“字符串首位字符的ASCII码”进行升序排列(排序过程中若出现ASCII码值相同的情况,则依次递增对下一位进行比较),并join成一个字符串,返回join_str:"1633431976787233453f1d1eb4eb5a5ad9c8dac0d02cc3isQFsTjsnNOLvIPXhf3HlW17WSfQqp9"

可用下面方式实现:

public static String genOriString(String timestamp,String nonce,String API_KEY){

        ArrayList<String> beforesort = new ArrayList<String>();
        beforesort.add(API_KEY);
        beforesort.add(timestamp);
        beforesort.add(nonce);

        Collections.sort(beforesort, new SpellComparator());
        StringBuffer aftersort = new StringBuffer();
        for (int i = 0; i < beforesort.size(); i++) {
            aftersort.append(beforesort.get(i));
        }

        String join_str = aftersort.toString();
        return join_str;
    }

4. 用API_SECRET对join_str做hmac-sha256签名,且以16进制编码,返回signature:"7d37d14406323f0ab30d1d4db1e7f2eb27abac42f3de00d619025108fa6cd5e4"

可用下面方式实现:

public static String genEncryptString(String join_str, String API_SECRET){

        Key sk = new SecretKeySpec(API_SECRET.getBytes(), "HmacSHA256");
        Mac mac = Mac.getInstance(sk.getAlgorithm());
        mac.init(sk);
        final byte[] hmac = mac.doFinal(join_str.getBytes());//完成hmac-sha256签名
        StringBuilder sb = new StringBuilder(hmac.length * 2);
        Formatter formatter = new Formatter(sb);
            for (byte b : hmac) {
                formatter.format("%02x", b);
            }
        String signature = sb.toString();//完成16进制编码
        return signature;
    }

5. 将上述的值按照 #{k}=#{v} 并以 ',' join在一起,返回签名认证字符串:
"key=2371d3f1d1eb4eb5a5ad9c8dac0d02cc,timestamp=1638431976741,nonce=3isWSsTjsnNOLvIPXhf3HlW17WSfQqp9,signature=7d37d14406323f0ab30d1d4db1e7f2eb27abac42f3de00d619025108fa6cd5e4"

可用下面方式实现:

public static String genauthorization(String API_KEY, String timestamp, String nonce, String signature){

        String authorization = "key=" + API_KEY
                     +",timestamp=" + timestamp
                         +",nonce=" + nonce
                     +",signature=" + signature;
        return authorization;
    }

6. 将该签名认证字符串赋值给HTTP HEADER 的 Authorization 中,完成一次接口访问。

DEMO

pom文件中添加一下支持

     <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.12.0</version>
     </dependency>

     <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpmime</artifactId>
            <version>RELEASE</version>
            <scope>compile</scope>
     </dependency>

具体实现代码:


import java.util.Comparator;


public class SpellComparator implements Comparator<Object> {
    public int compare(Object o1, Object o2) {
        try{
            String s1 = new String(o1.toString().getBytes("GB2312"), "ISO-8859-1");
            String s2 = new String(o2.toString().getBytes("GB2312"), "ISO-8859-1");
            return s1.compareTo(s2);
        }catch (Exception e){
            e.printStackTrace();
        }
        return 0;
     }
}

import java.io.IOException;
import java.security.InvalidKeyException;
import java.security.Key;
import java.security.NoSuchAlgorithmException;
import java.security.SignatureException;
import java.util.ArrayList;
import java.util.Collections;
import java.util.Formatter;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.lang3.RandomStringUtils;
import org.apache.http.client.ClientProtocolException;


public class GenerateString {
    // 开放平台注册获取id(API KEY)
    public static final String id = "22bfe9745135";
    // 开放平台注册获取密钥(API SECRET)
    public static final String secret = "19fbdc10";

    private static final String HASH_ALGORITHM = "HmacSHA256";
    static String timestamp = Long.toString(System.currentTimeMillis());
    static String nonce = RandomStringUtils.randomAlphanumeric(32);

    public static String genOriString(String api_key){

        ArrayList<String> beforesort = new ArrayList<String>();
        beforesort.add(api_key);
        beforesort.add(timestamp);
        beforesort.add(nonce);

        Collections.sort(beforesort, new SpellComparator());
        StringBuffer aftersort = new StringBuffer();
        for (int i = 0; i < beforesort.size(); i++) {
            aftersort.append(beforesort.get(i));
        }

        String OriString = aftersort.toString();
        return OriString;
    }

    public static String genEncryptString(String genOriString, String api_secret)throws SignatureException {
        try{
            Key sk = new SecretKeySpec(api_secret.getBytes(), HASH_ALGORITHM);
            Mac mac = Mac.getInstance(sk.getAlgorithm());
            mac.init(sk);
            final byte[] hmac = mac.doFinal(genOriString.getBytes());
            StringBuilder sb = new StringBuilder(hmac.length * 2);

            @SuppressWarnings("resource")
            Formatter formatter = new Formatter(sb);
            for (byte b : hmac) {
                formatter.format("%02x", b);
            }
            String EncryptedString = sb.toString();
            return EncryptedString;
        }catch (NoSuchAlgorithmException e1){
            throw new SignatureException("error building signature, no such algorithm in device "+ HASH_ALGORITHM);
        }catch (InvalidKeyException e){
            throw new SignatureException("error building signature, invalid key " + HASH_ALGORITHM);
        }
    }

    public static String genHeaderParam(String api_key, String api_secret) throws SignatureException{

        String GenOriString = genOriString(api_key);
        String EncryptedString = genEncryptString(GenOriString, api_secret);

        String HeaderParam = "key=" + api_key
                +",timestamp=" + timestamp
                +",nonce=" + nonce
                +",signature=" + EncryptedString;
        System.out.println(HeaderParam);
        return HeaderParam;
    }

    public static void main(String[] args) throws ClientProtocolException, IOException, SignatureException{
        String s = genHeaderParam(id, secret);
        System.out.println(s);
    }
}

好了,今天关于开放平台之接口认证鉴权就到这里。

欢迎大家点击下方卡片关注《coder练习生》

ybb_ymm
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
通用接口开放平台设计与实现——(2)API服务总体设计
学海无涯,行者无疆
01-25 7046
API服务是通用接口平台的主体部分,对外暴露Restful风格的数据接口,其他应用系统通过调用API服务,一方面,可以查询权限范围内的物流数据,另一方面,可以将自身系统产生的数据推送至物流系统。 API服务的技术实现相对消息服务而言,难度较低,注意事项也比较少,这里先放一个整体设计,细节后面在消息服务后面再展开介绍。 总体设计 API服务分为服务技术框架和具体业务功能接口两部分,技术框架部分负责统一调度、数据验证、身份认证、安全控制、日志记录等职责,具体业务功能接口负责实际的业务接口功能处理,总体处理流程如
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 2583
springboot服务第三方接口安全签名(Signature)实现方案
api接口不再裸奔——签名认证
漫漫长途,终有回转;余味苦涩,终有回甘
02-17 1642
在第三方调用api接口的时候,可能会存在以下几个问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 解决上述三个问题分为如下流程 1、合法性,通过请求许可来进行判断 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 目前广泛使用token和AccessKey作用一样,都是第三方合法性的认证标示 ...
API签名认证
qq_64376339的博客
05-30 469
定义:API签名认证是一种安全机制,通过为每个请求生成一个唯一的签名值来验证其合法性。作用身份验证:验证请求发送者的身份是否合法。防止篡改:确保请求在传输过程中没有被篡改。防止重放攻击:防止攻击者重复发送之前截获的合法请求。
java】对外开放接口签名认证方案
过去过去,未来未来,当下永恒!
01-30 493
参考文章:1.2.3.4.
java接口开放平台设计,OpenApi开放平台架构实践
weixin_32480007的博客
03-15 2726
WebAPI 开放平台架构实践导读背景需求场景架构设计总结背景随着业务的发展,越来越多不同系统之间需要数据往来,我们和外部系统之间产生了数据接口的对接。当然,有我们提供给外部系统(工具)的,也有我们调用第三方的。而这里重点讲一下我们对外的接口。我们运营和维护着诸多的对外接口,很多现有的接口服务寄宿在各个不同的项目,哪些应用在使用api也没有管理起来。并且以前的调用模式也是比较复杂,排错困难。目前已...
开放API接口签名认证
残月影的博客
03-14 1846
请求参数:access_key、nonce、timestamp、业务参数列表...、sign签名 签名:access_key+nonce+timestamp+业务参数列表+secret_key,业务参数列表按key自然排序,上各参数以&amp;拼接后进行md5加密,md5转为大写作为sign签名 access_key:用户身份标识,前后端约定 nonce:随机字符串,请求唯一标识,每个请求的...
基于Token实现开放API接口签名验证
热门推荐
Charge8的博客
12-13 1万+
基于Token实现开放API接口签名验证
开放平台API接口加密,签名策略
weixin_42212026的博客
11-26 6143
设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,笔者在详细的查阅大量资料后,结合自身的过往经验,对于接口加密及签名的相关知识做了一个系统性的总结,在方便自己查阅的同时也分享给大家做一些参考,说明不当之处欢迎指正(参考文章下文末列出,如有侵权可及时联系删除) 接口安全性问题主要来源于几方面考虑: 1.防伪装攻击即请求来源是否合法?(案例:在公共网络环境中,第三方 有意或恶意 的调用我们...
Java API接口签名认证
wFitting的博客
11-13 4987
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
Sangfor SCP平台开放API接口
08-26
【Sangfor SCP平台开放API接口】是Sangfor公司提供的一个系统集成和二次开发平台。这个平台允许开发者通过REST(Representational State Transfer)风格的API接口,利用HTTPS请求进行调用,以实现与SCP平台的深度...
中国电信物联网开放平台应用服务器证书(ca)-北向接口调用认证.zip
05-14
总的来说,中国电信物联网开放平台通过应用服务器的CA证书实现北向接口调用的认证,这是物联网服务安全体系中的重要组成部分。理解并正确运用这一机制,可以帮助开发者构建安全可靠的物联网应用,保护用户数据,避免...
人脸识别(腾讯AI开放平台)1
08-04
最后,提交图片信息的部分展示了如何调用腾讯AI开放平台接口。函数返回的JSON数据包含了人脸检测的结果,例如面部角度(roll、yaw)、高度和宽度、表情、是否戴眼镜、性别等信息。这些信息可以进一步用于人脸识别...
开放平台概要设计说明书
02-26
开放平台设计也考虑到了安全性,例如,在校验签名步骤中,算法方式参照《接口统一规范》,其中 secret 取自平台保存数据来做签名,并将请求sign与服务端签名做比对是否相同。 开放平台还提供了一个统一的接口定义...
Spring Boot使用AOP实现REST接口简易灵活的安全认证的方法
08-26
Spring Boot 使用 AOP 实现 REST 接口简易灵活的安全认证的方法 在本文中,我们将详细介绍如何使用 Spring Boot 和 AOP 实现 REST 接口简易灵化的安全认证。安全认证是保护 REST 接口的重要一环,通过使用 AOP,...
本地部署VMware ESXi服务实现无公网IP远程访问管理服务器
weixin_44976692的博客
07-26 2619
在虚拟化技术日益成熟的今天,VMware ESXi以其卓越的性能和稳定性,成为了众多企业构建虚拟化环境的首选。然而,随着远程办公和跨地域管理的需求增加,如何高效地远程访问和管理部署在本地数据中心的ESXi服务器,成为了企业IT部门面临的重要挑战。传统的远程访问方式往往受限于网络配置复杂、IP地址固定以及安全性能不足等问题,难以满足现代企业对于灵活、安全、高效的远程管理需求。为了解决这一难题,我们可以借助Cpolar内网穿透技术,将本地ESXi服务器的访问能力扩展到公网,实现随时随地的远程访问和管理。
ipsec VPN设备在边界情况
aimnr的博客
07-23 671
AR1和AR3充当两私网的边界设备,AR2充当ISP,要求PC1和PC2通过IPSEC互通。
使用易备数据备份软件,践行虚拟机最佳备份方案
最新发布
sanyuan7783的博客
07-26 909
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
java调用三方接口
07-28
Java调用第三方接口的方法有多种,以下是其中几种常用的方式: 1. 使用原生的Java网络库:可以使用Java提供的URLConnection或HttpClient等类来发送HTTP请求,接收并处理返回的数据。这种方式相对底层,需要手动处理请求和响应。 2. 使用第三方库:例如Apache HttpClient、OkHttp等,这些库提供了更简洁的API和更高层次的抽象,使得调用接口更加方便。 3. 使用WebService客户端:如果第三方接口是基于SOAP或WSDL协议的WebService,可以使用Java提供的JAX-WS或Apache CXF等工具生成客户端代码,并使用生成的代码调用接口。 4. 使用RESTful客户端:如果第三方接口是基于RESTful风格的,可以使用Spring RestTemplate、Jersey Client等框架来调用接口。 5. 使用开源框架:例如Feign、Retrofit等,这些框架可以根据接口定义自动生成客户端代码,简化了调用过程。 根据具体的接口类型和需求,选择合适的方式来调用第三方接口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ybb_ymm

你的鼓励会是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值