如何打造一个安全的接口?

如何打造一个安全的接口

在项目开发中,我们经常需要跟外部系统进行交互,然而与外部系统进行接口交互涉及到安全问题。
那么如何打造一个安全的接口呢?

该如何打造呢

我们一般会想到https交互,那么除了https呢,我们还可以使用token授权机制、sign签名机制。
接下来我主要讲一下我们常用的sign签名机制。

签名机制

我们来看一段代码:

 static String getSign(String appid, String appkey, String timestamp, String nonce, String body) throws Exception {
        byte[] data = body.getBytes("utf-8");
        InputStream is = new ByteArrayInputStream(data);
        String testSH = DigestUtils.sha256Hex(is);
        String s1 = appid+timestamp+nonce+testSH;
        Mac mac = Mac.getInstance("HmacSHA256");
        mac.init(new SecretKeySpec(appkey.getBytes("utf-8"),"HmacSHA256"));
        byte[] localSignature = mac.doFinal(s1.getBytes("utf-8"));
        String localSignatureStr = Base64.encodeBase64String(localSignature);
        return  "OPEN-BODY-SIG AppId="+"\""+appid+"\""+", Timestamp="+"\""+timestamp+"\""+", Nonce="+"\""+nonce+"\""+", Signature="+"\""+localSignatureStr+"\"";
    }

我们可以看到我们的生成我们的签名需要很多参数,接下来带大家详细讲解一下我们的参数

appid

appid是我们系统分配的唯一的可以看做是跟我们交互的应用的凭证。

appkey

跟我们的appid一一对应,这个一个系统对应一个秘钥,我们不可将秘钥泄露

timestamp

时间戳,时间戳用来校验我们的请求的时间,一般比如我们允许我们的接口的请求时间在30s,那么我们可以通过请求的时间戳来判断,如果超过允许请求的时间我们也是拒绝请求。

noce

随机数,一般我们请求的时候会随机生成一个随机数,随机数的作用是用来防止重复提交,我们一般在第一次请求的时候会将该随机数存储下来,后续请求的时候如果发现已经存在了,那么就拒绝请求。

sign

签名,签名我们一般使用256算法进行加密,加密是单向的,一般我们会将我们的appkey做为我们的盐值共同加密,只要我们的key不泄露基本解密是不可能的,这也是防止我们的数据被篡改。

  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值