基于Hash摘要签名的公网URL签名验证设计方案

最新推荐文章于 2022-05-31 18:41:56 发布
最新推荐文章于 2022-05-31 18:41:56 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: JavaWeb springboot 文章标签: 设计 hash url签名 url加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangruhong168/article/details/78033202
版权

基于Hash摘要签名的公网URL签名验证设计与约定

为什么要对url参数签名

在特定的环境下存在A系统页面打开B系统(不是同一个公司)的需求,由于B系统中不存在用户登陆,所以必须保证A通过URL调用带给B的参数是可信且未经篡改的。比如A的用户需要打开B的页面查看待审批充值订单url https://admin.isexample.com/admin/abc?isid=10000011 由于这个url是在用户浏览器上可以修改的,为了避免用户在浏览器上将isid改为其他值(比如https://admin.isexample.com/admin/abc?isid=10000012 ),这会导致系统的用户信息泄露,为了避免这种情况产生,我们需要对url中的参数进行签名。

有哪些关注点

  1. url参数放篡改
  2. url参数仿复用、仿重放攻击(url有有效期,生成时间与访问时间间隔太久会阻止访问)
  3. 验证通过后需要重定向一次 防止用户刷新原来的页面导致一次性token再次使用而系统返回错误,还需要一个随机字符串来防止每次的提交可能相同,即除了时间戳还需要一个随机字符串nonce_str
  4. 需要统一时区(比如以0时区为标准)
  5. 私下约定的加密字符串更换成本(使用两个?)
  6. Get请求url太长是否影响、大小写是否影响
  7. 通用性,需要考虑出来当前网页url验证外,还可能在系统其他部分使用(可能被作>统一拦截)
  8. 签名认证的结果是否只对当前页面有效,其他页面是否可以跳过认证(不安全,认证应该是一次性的,每次不同系统的交互都应该重新认证鉴权,如何保证重定向时认证息的传递,页面刷新呢?)
  9. 加密时,需要先做签名再做urlencode,解密时需要先urldecode,再签名对比
  10. url传递的参数值不支持数组形式 比如 a=1&a=2&a=3 是不被支持的
最低0.47元/天 解锁文章
zhangruhong168
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
论文研究-基于Hash链的流式数据签名验证研究.pdf
07-22
针对流式数据实时性要求和传输中易丢包的特点, 重点分析了Golle 增强链流式数据签名方案, 基于Gilbert-Elliot 网络通道模型, 提出了Hash 值前置的星-链型流式数据签名验证方案。该方案在发送方预先缓存流序列, 可...
区块链一——hash函数,签名验证
tianzhiya121的博客
08-26 1963
区块链简介——hash函数、签名验证 Author: 赵阳泽 Date: 2020-08-26 Blockchain是保存持续增长的记录的分布式数据库。 基础知识: hash函数性质(假设输入空间很大,而且平均分布) 1.抵制碰撞:难以找到不同的输入,映射到同一个输出(但是不代表不会出现)。可防篡改,因为篡改输入,输出改变。 2.隐藏:可用于防泄漏。 3.hash(任意长度的消息)->固定长度的消息(数字摘要hash函数常被用于区块链签名: 区块链签名过程分为签名验证,如下: 签名hash
URL中的hash(#)含义
Mary_Code的博客
02-08 2155
hash属性是一个可读可写的字符串,该字符串是URL的锚的部分 "#"代表网页中的一个位置。其右边的字符,就是该位置的标识符 例:http://www.example.com/index.html#print 就代表网页index.html的print位置。浏览器读取这个URL后,会自动将print位置滚动至可视区域。(单页面应用) 为网页位置指定标识符,有两个办法: (1)使用锚点: (2)使用id: HTTP请求不包括"#" ‘#’是用来指导浏览器动作的,对服务器端完全无用。所以,http请求中不包
签名验签过程理解
qq_21209307的博客
06-27 1394
A端向B端发送消息的签名验签过程 A->B: A提取消息m的消息摘要h(m),并使用自己的私钥对摘要h(m)进行加密,生成签名s A将签名s和消息m一起,使用B的公钥进行加密,生成密文c,发送给B B: B接收到密文c,使用自己的私钥解密c得到明文m和数字签名s B使用A的公钥解密数字签名s解密得到H(m) B使用相同的方法提取消息m的消息摘要h(m) B比较两个消息摘要。相同则验证成功;不同则验证失败 ...
开放接口API安全性之签名验证url签名算法】
weixiaohuai的博客
05-29 5666
一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口的安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程中有没有被注入攻击。这时候客户端
浅谈URL参数的sign签名认证
热门推荐
qq_15901351的博客
05-03 4万+
以下内容是参考别人的博客内容整理,如有不足之处,敬请指正。。。 大家先思考一个问题: 你在写开放的API接口时是如何保证数据的安全性的? 先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 1. 请求来源(身份)是否合法? 2. 请求参数被篡改? 3. 请求的唯一性(不可复制)...
密码学课程设计摘要签名加解密聊天软件
09-08
首先,摘要Hash)是一种将任意长度的信息转化为固定长度的短字符串的过程。MD5(Message-Digest Algorithm 5)是常用的摘要算法之一,它能确保数据的完整性,因为即使微小的改动也会导致完全不同的摘要结果。在...
基于可编程hash函数的短签名
05-12
本文利用可编程hash函数设计了一个基于因子分解假设的短签名方案,它具有的优点是:1)签名长度短,只需要一个群上的元素和一个小整数;2)签名验证计算量小,不需要在签名过程中进行生成素数的运算;3)不需要嵌入变色龙...
rzyfileuploadclient_HASH签名安全校验_
10-02
HASH签名是一种常见的数据验证技术,它基于哈希函数(如MD5、SHA-1、SHA-256等)对原始数据进行运算,生成固定长度的哈希值。这个哈希值就像是数据的一个数字指纹,任何对原始数据的微小改动都会导致哈希值的巨大...
filesign.rar_signature_文件签名_签名_验证签名
最新发布
09-21
它涉及到文件的加密、解密、签名以及验证签名等关键操作。本文将详细解释这些知识点,并通过提及的文件"filesign.rar_signature_文件签名_签名_验证签名"中的"filesign.java"和"www.pudn.com.txt"来探讨其实际应用。...
网络安全:URL签名验证的实现API防篡改
太阳的味道
02-20 1075
我们在做APP开发的时候,APP的网络安全是极其重要,我们有必要对请求的API进行加密和防篡改。HTTPS是一个很好的传输加密的方式。如果APP的请求API地址和参数被泄露,我们还是可能会被恶意请求。 所以我们有必要实现 URL签名,对请求的参数进行校验,在客户端生成URL签名,在服务端对签名进行校验,如果客户端的URL签名算法保密做得好,就可以避免非法请求,签名算法的加密需要使用 C++编写,这...
【ceph相关】s3预签名url(presign)
Luxf0的博客
05-31 3959
一、前言 1、预签名url 当需要将s3资源提供给其他用户访问,但又不想直接通过桶的访问权限,可以通过生成预签名url方式生成一个临时url提供给用户访问。 生成预签名url时,可以通过指定过期时间参数,限制用户访问时间。由于SigV4签名密钥最大有效期为7天,故生成的预签名url有效期最大也只有7天。 2、签名版本 Amazon S3有两个签名版本SigV2和SigV4版本,考虑到安全性和使用效率等因素,目前官方已停止SigV2版本的支持。 可以通过预签名url判断签名版本,通常SigV2预签名url带有
给第三方使用接口的 URL 签名实现
weixin_33725515的博客
02-21 584
在开放给第三方使用的API中,如果让第三方携带明文的token请求服务,极有可能泄漏token。由于第三方身份验证服务器是依赖于token的,这样会造成不良的后果。为了提高通信的安全性,我们需要加密token,就是URL签名了。 实现URL签名过程 生成URL签名的signature,假设第三方获取到token后,token=“aff9...
url增加签名验证防篡改
李天泉
11-04 2167
学习给API加上签名加密验证功能,摘抄了腾讯支付的说明书文档 ———————————————————————————————————————————————————————————————— 为了提高传输过程参数的防篡改性,必须使用签名参数sig。 签名参数sig生成的步骤 第1步: 把需要包含在签名中的参数按key升序排序。 具体需要包含哪些参数,见各接口参数说明中关于s
推荐算法之协同过滤实战
liuzhiqiangruc
02-01 724
协同过滤(Collective Filtering)可以说是推荐系统的标配算法。 在谈推荐必谈协同的今天,我们也来谈一谈基于KNN的协同过滤在实际的推荐应用中的一些心得体会。   我们首先从协同过滤的两个假设聊起。   两个假设: 用户一般会喜欢与自己喜欢物品相似的物品 用户一般会喜欢与自己相似的其他用户喜欢的物品 上述假设分别对应了协同过滤的两种实现方式:基于物品相似(i...
信息安全实验:信息摘要函数的设计验证
jigsaw6213的博客
04-20 236
一、实验目的 信息摘要函数(Hash函数)的设计与性质验证 二、实验步骤 1.设计符合原理要求的信息摘要函数H(m)。 2.对于如下明文信息m: Once upon a time, there lived a monkey in the woods. The monkey climbed up the tree and looked down at the river everyday. One day, the monkey saw fishermen throw a net over the river
身份证阅读器 php的开发,编写php应用程序实现摘要式身份验证的方法详解
weixin_39680380的博客
03-10 194
通基本身份认证一样,也可以使用PHP网页处理HTTP请求报头字段来匹配摘要式身份验证信息。例如下边的代码使用header()函数要求客户端使用Digest验证,它在HTTP消息报头中增加了一个WWW-Authenticate字段:header('WWW-Authenticate:Digest Realm="MyRealm",nonce="47alf7cf25ce7",algorithm=MD5,q...
URL请求加密 参数的sign签名 与验签
aaaak_的博客
04-09 4494
如何保证 请求的安全 url参数防篡改 sign 防重放 来源(身份)是否合法 签名设计方案 设计 客户端规则 给不同客户端 如(app)分配对应的 商户 key, secret 用来确认请求来自 哪一端 key :xxxAndroid.3.14 secret : dfsdfsfxxxxx (用来加密sign) 假设 url 传递的参数为 id: wxd930ea5d5a258f4f device_info: xxx body: test nonce_str: ibuaiVcKdpRxkhJA (该参
数字签名与消息摘要技术详解
"本资源主要介绍了数字签名法的法律背景及其在不同国家的应用,同时深入讲解了消息摘要和数字签名的概念以及单向散列函数,特别是安全散列标准SHS的算法原理。" 数字签名是一种用于确保数据完整性和发送者身份验证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值