如何打造一个安全的接口
在项目开发中,我们经常需要跟外部系统进行交互,然而与外部系统进行接口交互涉及到安全问题。
那么如何打造一个安全的接口呢?
该如何打造呢
我们一般会想到https交互,那么除了https呢,我们还可以使用token授权机制、sign签名机制。
接下来我主要讲一下我们常用的sign签名机制。
签名机制
我们来看一段代码:
static String getSign(String appid, String appkey, String timestamp, String nonce, String body) throws Exception {
byte[] data = body.getBytes("utf-8");
InputStream is = new ByteArrayInputStream(data);
String testSH = DigestUtils.sha256Hex(is);
String s1 = appid+timestamp+nonce+testSH;
Mac mac = Mac.getInstance("HmacSHA256");
mac.init(new SecretKeySpec(appkey.getBytes("utf-8"),"HmacSHA256"));
byte[] localSignature = mac.doFinal(s1.getBytes("utf-8"));
String localSignatureStr = Base64.encodeBase64String(localSignature);
return "OPEN-BODY-SIG AppId="+"\""+appid+"\""+", Timestamp="+"\""+timestamp+"\""+", Nonce="+"\""+nonce+"\""+", Signature="+"\""+localSignatureStr+"\"";
}
我们可以看到我们的生成我们的签名需要很多参数,接下来带大家详细讲解一下我们的参数
appid
appid是我们系统分配的唯一的可以看做是跟我们交互的应用的凭证。
appkey
跟我们的appid一一对应,这个一个系统对应一个秘钥,我们不可将秘钥泄露
timestamp
时间戳,时间戳用来校验我们的请求的时间,一般比如我们允许我们的接口的请求时间在30s,那么我们可以通过请求的时间戳来判断,如果超过允许请求的时间我们也是拒绝请求。
noce
随机数,一般我们请求的时候会随机生成一个随机数,随机数的作用是用来防止重复提交,我们一般在第一次请求的时候会将该随机数存储下来,后续请求的时候如果发现已经存在了,那么就拒绝请求。
sign
签名,签名我们一般使用256算法进行加密,加密是单向的,一般我们会将我们的appkey做为我们的盐值共同加密,只要我们的key不泄露基本解密是不可能的,这也是防止我们的数据被篡改。