双方API交互:签名及验证-- (AK/SK)认证的实现

最新推荐文章于 2024-05-05 03:19:35 发布
最新推荐文章于 2024-05-05 03:19:35 发布
阅读量9.2k 收藏 38
点赞数 9
分类专栏: java 文章标签: AK/SK 签名Sign
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqwang75457/article/details/117815474
版权

接口交互提供一个开发的接口地址和接口文档,

知道了url,知道了参数怎么传,坏人就来了:

1.可以任意请求任意参数值,调用你的接口。

2.频繁请求、恶意攻击,让你一直处理接口对应的业务逻辑。

3.拦截某个请求,拿到参数信息,重复对发起请求(正常业务一个请求只能处理一次吧),如果此接口是写入某个业务数据到数据库,那你数据库的数据越来越多,数据还是一样的。。。

........................


因此:还需要约定签名算法规则等内容,来防止各种问题。

AK/SK:
AK:Access Key Id,用于标示用户。
SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。

基本思路:
1.客户端需要在认证服务器中预先设置 access key(AK 或叫 app ID) 和 secure key(SK)。
2.在调用 API 时,客户端需要对参数和 access key 等信息结合 secure key 进行签名生成一个额外的 sign字符串。
3.服务器接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,系统将忽略该操作并返回错误码。

 

基于上文的思路,客户端和服务器端分别如何实现?

package xxx;
import java.security.MessageDigest;
import java.util.HashMap;
import java.util.Map;
import java.util.TreeMap;
import java.util.UUID;
import org.springframework.util.CollectionUtils;
import xxx.MapUtil;
import xxx.StringUtil;

public class SignUtil {
    /**
     * 通过请求参数,包装请求header信息(含签名信息)(客户端用)
     * 
     * @Title:wrapperHeader
     * @Description: TODO 
     * @date 2021年6月11日 下午1:52:35
     * @author yqwang
     * @param appId
     * @param appSecret
     * @param reqParam
     * @return {appId=000000, sign=B562FFD6FC691A42CD7F46D068B3F74A, nonce=d50e301d-ee2c-446e-8f28-013f0fee09fb, ts=1623388123195}
     */
    public static Map<String, Object> wrapperHeader(String appId, String appSecret, Map<String, Object> reqParam) {
        Long ts = System.currentTimeMillis();
        String nonce = UUID.randomUUID().toString();
        Map<String, Object> header = new HashMap<String, Object>();
        header.put("ts", ts);// 进行接口调用时的时间戳,即当前时间戳(毫秒),服务端会校验时间戳,例如时间差超过20分钟则认为请求无效,防止重复请求的攻击
        header.put("nonce", nonce);// 每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用
        header.put("appId", appId);// 用于标识哪个三方系统发来的请求
        String sign = getSign(appId, appSecret, ts, nonce, reqParam);// 按签名算法获取sign
        header.put("sign", sign);
        return header;
    }

    /**
     * 按签名算法获取sign(客户端和服务器端算法一致,都需要用)
     * 
     * @Title:getSign
     * @Description: TODO
     * @date 2021年6月11日 下午1:15:13
     * @author yqwang
     * @param appId
     * @param appSecret
     * @param ts
     *            时间戳
     * @param nonce
     *            请求唯一标识
     * @param reqParam
     *            请求参数
     * @return
     */
    public static String getSign(String appId, String appSecret, Long ts, String nonce, Map<String, Object> reqParam) {
        // 计算签名规则:sign = md5("ts=1623388123195&noce=d50e301d-ee2c-446e-8f28-013f0fee09fb&appSecret=9ZLEzugQHfQd11vS8pd68lxzA&param1=1&param2=2")
        // 其他说明:这个规则双方来定,也可以不把reqParam带入计算
        // 1.请求参数key升序
        Map<String, Object> treeMap = new TreeMap<>();
        treeMap.putAll(reqParam);
        // 2.待加密字符串
        StringBuffer s = new StringBuffer();
        s.append("ts=").append(ts).append("&noce=").append(nonce).append("&appSecret=").append(appSecret);
        // append : &param1=1&param2=2
        treeMap.forEach((k, v) -> s.append("&").append(k).append("=").append(v));
        // 3.对待加密字符串进行加密(对字符串md5处理,得到sign值)
        return string2MD5(s.toString());
    }

    /**
     * 验证请求是否有效(服务器端用)
     * 
     * @Title:checkReqInfo
     * @Description: TODO
     * @date 2021年6月11日 下午1:19:21
     * @author yqwang
     * @param reqHeader
     * @param reqParam
     * @return 是否有效(方便测试我用Boolean,可根据业务需要,返回对应错误信息,不一定用Boolean)
     */
    public static Boolean checkReqInfo(Map<String, Object> reqHeader, Map<String, Object> reqParam) {
        // 1.没有header : 无效请求
        if (CollectionUtils.isEmpty(reqHeader)) return false;
        // 2.没有ts(请求时间戳):无效请求
        Long ts = MapUtil.get(reqHeader, "ts", Long.class);
        if (ts == null) return false;
        // 3.超过20分钟:无效请求
        if (System.currentTimeMillis() - ts > 20 * 60 * 1000) return false;
        // 4.如果带有请求唯一标识,则需要先验证此标识是否已经被处理过,防止重复请求(不一定每个项目都要求考虑此项,这里只是一个思路,需要的可以加上);如果处理过,返回false,如果没处理过,则把这个唯一标识存到redis(随意)
        String nonce = MapUtil.getStr(reqHeader, "nonce");
       /* if (StringUtil.isNotBlank(nonce)) {
            // 判断是否重复请求
            Boolean isRepeat = isRepeatReq(nonce);
            if (isRepeat) {
                return false;// 4.1重复请求:无效请求
            } else {
                saveToRedis(nonce);// 4.2标记此请求正在被处理或已被处理
            }
        }*/
        // 5.appId是否存在(用户是否存在),不存在则算无效请求
        String appId = MapUtil.getStr(reqHeader, "appId");
        if(StringUtil.isBlank(appId))return false;
        // 5.1去库中或配置中获取appId对应的appSecret  (这里方便测试,先写死)
        String appSecret = "9ZLEzugQHfQd11vS8pd68lxzA";//getAppSecretByAppId(appId);
        // 5.2没有此appId对应信息:无效请求
        if(StringUtil.isBlank(appSecret))return false;
        
        // 6.sign验证
        // 6.1 没传sign:无效请求
        String sign = MapUtil.getStr(reqHeader, "sign","");
        if(StringUtil.isBlank(sign))return false;
        //6.2最后验证sign值(按约定的sign计算方式,服务器端也算出一个sign,将这里计算出的sign和请求中的sign比较,是否一致)
        String srvSign = getSign(appId, appSecret, ts, nonce, reqParam);
        System.out.println(sign);
        System.out.println(srvSign);
        // 目前能想到的安全验证就这些,或许大家还能想到其他验证,让接口更加安全
        return sign.equalsIgnoreCase(srvSign);
    }

    /**
     * MD5加码 生成32位md5码
     */
    public static String string2MD5(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("MD5");
        } catch (Exception e) {
            System.err.println("MD5加码失败");
            return "";
        }
        char[] charArray = inStr.toCharArray();
        byte[] byteArray = new byte[charArray.length];

        for (int i = 0; i < charArray.length; i++)
            byteArray[i] = (byte) charArray[i];
        byte[] md5Bytes = md5.digest(byteArray);
        StringBuilder hexValue = new StringBuilder();
        for (int i = 0; i < md5Bytes.length; i++) {
            int val = ((int) md5Bytes[i]) & 0xff;
            if (val < 16) hexValue.append("0");
            hexValue.append(Integer.toHexString(val));
        }
        return hexValue.toString().toUpperCase();
    }

    // 测试
    public static void main(String[] args) {
        // A.客户端:请求(header+param)
        // A.1请求参数
        Map<String, Object> reqParam = new HashMap<String, Object>();
        reqParam.put("param2", "2");
        reqParam.put("param1", "1");
        // A.2请求头(行sign值等信息)
        String appId = "000000";// AK appId相当于用户名
        String appSecret = "9ZLEzugQHfQd11vS8pd68lxzA";// SK 相当于密码,提供给对方一个随机密码,不直接体现在请求中
        Map<String, Object> reqHeader = wrapperHeader(appId, appSecret, reqParam);
        // {appId=000000, sign=B562FFD6FC691A42CD7F46D068B3F74A, nonce=d50e301d-ee2c-446e-8f28-013f0fee09fb, ts=1623388123195}
        System.out.println(reqHeader);
        
        // ==================客户端发起请求,参数param,并把header带入请求中
        
        // ============================服务器端,收到请求
        // 1.验证请求信息,2处理业务逻辑,3.返回数据到客户端
        // 1.验证请求信息(方便测试,不再赘述如何获取请求的header和参数信息!直接用上文定义的reqHeader, reqParam)
        Boolean valid = checkReqInfo(reqHeader, reqParam);
        if(!valid){
           //无效,不再处理业务信息,返回失败
            System.out.println("无效");
        }
        System.out.println("有效请求,继续处理...");
        
        //2处理业务逻辑,3.返回数据到客户端...省略
    }
}

请直接看main()方法!!

注意:

文中用到了2个工具类,都可以按自己项目中的工具或变一下方式去实现,我就不贴出来了,大家都看得懂。
1.MapUtil 目前就是从map中获取某个值,这个可以自行处理。

2.StringUtil是我们内部的字符串工具类,可更换为org.apache.commons.lang.StringUtils或用其他方式判断字符串是否为空等。

yqwang_cn
关注
  • 9
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
java sk2.0_JAVA SDK AK/SK认证
weixin_28769407的博客
02-16 1989
AK/SK简介AK(Access Key ID)/SK(Secret Access Key),主要用于对用户的调用行为进行鉴权和认证,相当于专用的用户名和密码。[JAVA环境准备]-示例ECS开发/测试构建配置环境变量:新建系统变量JAVA_HOME,变量值为实际JDK安装位置。在Path中添加%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin (注意用英文分号分隔)。新建系统...
binance-java-api:binance-java-api是Binance API的轻量级Java库,支持同步和异步请求以及使用WebSockets进行的事件流传输
05-23
binance-java-api是一个轻量级的Java库,用于与进行交互,提供完整的API覆盖,并支持同步和异步请求以及使用WebSockets进行的事件流传输。 注意:该项目赢得了Java语言的,因此,此存储库已被分叉,可以在找到官方...
实现一个AK,SK签名认证方法
weixin_42602368的博客
12-23 1769
AK/SK 签名认证是一种常用的 API 认证方法,主要用于在客户端和服务端之间安全地传输数据。 实现这种认证方法的步骤如下: 服务端生成一对 AK/SK 密钥对,将 AK 公开给客户端,将 SK 保密。 客户端使用 AK 和一些请求参数(如时间戳、请求内容等),使用 HMAC-SHA256 算法生成签名。 客户端将 AK签名和请求参数一起发送给服务端。 服务端使用自己保存的 SK 和收...
2024年Web前端最全跨平台应用开发进阶(三十二) :AK SK鉴权原理简介_aksk鉴权,腾讯前端面试题社招
最新发布
2401_84433829的博客
05-05 463
今天的文章可谓是积蓄了我这几年来的应聘和面试经历总结出来的经验,干货满满呀!如果你能够一直坚持看到这儿,那么首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!可以非常负责地说,如果你能够坚持把我上面列举的内容都一个不拉地看完并且全部消化为自己的知识的话,那么你就至少已经达到了中级开发工程师以上的水平,进入大厂技术这块是基本没有什么问题的了。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
Golang中AK/SK认证实现
weixin_44864347的博客
12-26 5522
Golang实现AK/SK认证一、AK/SK概述1. 什么是AKSK2. AK/SK认证过程二、AK/SK认证例子1. 设计ak/sk的请求参数2. 数据库中保存sk3. 客户端生成签名4. 服务端校验签名 一、AK/SK概述 1. 什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。客户端和服务端两者会协商保存一份相同的sk,其中sk必须保密。 2. AK/SK认证过程 客户端在调用的服务端接口时候
AK/SK的基本概念及其认证过程
weixin_45875986的博客
03-13 519
客户端在调用的服务端接口时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行请求,在服务端接收到这个请求的时候,首先会根据ak去数据库里面去找到对应的sk,然后使用sk对请求内容进行加密得到一个签名,然后对比客户端传过来的签名和服务端计算的出来的签名是否一致,如果一致则代表身份认证通过,反之则不通过。ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。
AK/SK加密认证
m0_51935980的博客
03-15 1022
Access Key(AK):AK是一个全局唯一的字符串标识符,用于标识用户。它类似于用户名,但仅用于身份识别,并不包含任何秘密信息。 Secret Access Key (SK):SK则是一个高度保密的密钥,类似于密码,用于对发送至服务的请求进行签名。每个AK都有一个对应的SK,它们成对出现,共同完成安全认证过程。
程序员电脑组装_笔记本电脑掉过坑?买笔记本电脑一定要认识英特尔EVO认证平台...
weixin_39542936的博客
10-23 192
  我从小就喜欢折腾电脑,大概2004家里有了第一台组装机,中考后有了第一台笔记本。具体型号已经不可考证,只记得花了一万多,毕竟十几年前一万多还是能在我们那买好几平米房子的。可能也是归功于我做足了功课,这台电脑竟然一口气撑了快十五年,直到现在我妈都还在用它炒股票。  有了电脑后日子更是一发不可收拾,天天琢磨着改东改西,隔几天就能把电脑整崩溃一次再重装。后来又迷上了《电脑爱好者》这杂志,就更是喜欢琢...
API接口签名验证
qq_25046827的博客
03-01 4539
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
conceal-api:隐藏的API-JavaScript接口(RPCAPI
05-07
隐藏的APIJavascript / Node.js接口(RPC / API) 隐藏的加密货币RPC / APIJavascript / Node.js接口。 在隐藏的,隐藏钱包的和钱包的三个程序中内置了三个RPC服务器。 它们每个都可以使用参数--help来启动,...
raku-api-discord:用于与Discord API交互的Raku模块
05-26
API::Discord是一个Raku(以前是Perl 6)模块,用于与Discord API进行交互。 构建在和之上,这允许在应用程序和API之间进行快速异步操作。 安装 ...来自ZEF zef install API::Discord ...从源头上 git clone ...
WebAPI:客户端提交签名数据/服务端返回数据交互示例
06-13
WebAPI:client客户端post提交签名数据/apiServer服务端返回json数据交互-简单示例 客户端: Web目录下的ApiClient/queryToken.aspx API服务端:WebApi目录下的/ApiServe/queryToken.aspx 客户端(Web:ApiClient/...
spring-rest-ecommerce:Java Spring Boot-电子商务REST API
01-29
基于Java Spring,Spring Boot,带有MySQL的Hibernate ORM,Spring HATEOAS,Spring Fox(Swagger API文档),JWT和Redis的电子商务REST API。 REST API端点 所有输入和输出均使用JSON格式。 要打开Swagger(交互式...
aksk怎么认证 海康威视_[转载]公有云API认证方式:AK/SK 简介
weixin_28972529的博客
01-26 1327
1 公有云API认证方式一般有以下几种认证方式:Token认证AK/SK认证RSA非对称加密方式下面主要介绍AK/SK。1 AK/SK1.1 AK/SK 原理云主机需要通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key Id(AK)用于标示用户。Secret Access Key(SK)是用户用于加密认证字符串和云...
AK/SK验证流程
mameng1988的博客
05-30 931
AccessKeyId(AK)用于标识密钥拥有者,AccessKeySecret(SK)是用于验证身份的密钥。通过这个流程,AccessKeyId和AccessKeySecret的验证保证了请求的合法性,并防止了未经授权的人员对API进行访问,从而实现API的安全性和可靠性。如果找到AccessKeySecret,则将接收到的AccessKeySecret与请求中的AccessKeySecret进行比较。否则,API网关将返回错误响应。目标服务接收到请求,并对其进行处理,然后将响应返回到API网关。
Restful API AK/SK认证
lijiale的博客
11-12 7579
AK/SK简介 AK(Access Key ID,用于标识用户)/SK(Secret Access Key,是用户用于加密认证的字符串和验证认证字符串的密钥,SK必须保密),主要用于对用户的调用行为进行鉴权和认证,相当于专用的用户名和密码 AK/SK认证流程 客户端根据双方协商好的规则算法生成Signature认证字符串,并将生成的Signature认证字符串设置到header中。当API网关/服务端接收到请求后,判断请求中是否包含Signature认证字符串。如果包含认证字符串,则执行下一步操作。 基于
AK/SK认证简介
2301_78006725的博客
09-23 4869
具体来说,AKSK用于对API请求进行签名以确保请求的完整性和身份验证。在访问受保护的服务或资源时,需要提供有效的AKSK才能获得授权。AKSK的作用是保证只有授权用户才能访问特定的服务或资源,同时也提供了对用户操作的跟踪和审计能力。云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
java app接口安全认证_app与后台交互之间的几种安全认证机制
weixin_35995377的博客
02-13 771
1、HTTP简单基本认证方式这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来2、OAuth(OAuth2)这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念,理念是通过tok...
工作实战之系统交互api调用认证设计
zengliangxi的专栏
02-23 650
系统间接口调用,接口文档及实现,包括api认证授权,包括参数sha256加盐哈希,sign,md5签名,各种手段保证接口调用的安全性
com.jd.open.api:open-api-sdk:2.0
01-05
com.jd.open.api:open-api-sdk:2.0是京东开放平台的Java开发工具包,用于开发者与京东开放平台进行对接和交互的SDK。 京东开放平台是京东商城提供给商家和开发者的一套开放平台服务,包括商品查询、订单管理、用户授权、营销推广等功能。开发者通过使用open-api-sdk可以方便地使用京东开放平台的各种接口,节省开发时间和精力。 open-api-sdk的版本号为2.0,表示这已经是该工具包的第二个大版本,在之前版本的基础上进行了更新和改进。新版本的sdk通常包含更多功能、修复了之前版本中的bug,并提供更好的兼容性和稳定性。 使用com.jd.open.api:open-api-sdk:2.0可以通过调用相应的接口实现与京东开放平台的连接和数据交互。例如,开发者可以使用该工具包中提供的接口发送商品查询请求,获取商品的详细信息;也可以使用接口进行订单管理,包括订单创建、取消、查询等操作。 此外,open-api-sdk还提供了其他一些功能,如用户授权、优惠券领取与使用、营销推广等。开发者可以根据自己的需求选择使用相应的接口,与京东开放平台进行集成开发。 总之,com.jd.open.api:open-api-sdk:2.0是京东开放平台提供给开发者的Java开发工具包,可以方便地与京东开放平台进行对接和交互实现商品查询、订单管理、用户授权等功能。开发者可以根据具体需求使用该工具包中提供的接口,进行开发和集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yqwang_cn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值