基于Hash摘要签名的公网URL签名验证设计方案

最新推荐文章于 2023-06-19 10:46:22 发布
最新推荐文章于 2023-06-19 10:46:22 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: JavaWeb springboot 文章标签: 设计 hash url签名 url加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangruhong168/article/details/78033202
版权

基于Hash摘要签名的公网URL签名验证设计与约定

为什么要对url参数签名

在特定的环境下存在A系统页面打开B系统(不是同一个公司)的需求,由于B系统中不存在用户登陆,所以必须保证A通过URL调用带给B的参数是可信且未经篡改的。比如A的用户需要打开B的页面查看待审批充值订单url https://admin.isexample.com/admin/abc?isid=10000011 由于这个url是在用户浏览器上可以修改的,为了避免用户在浏览器上将isid改为其他值(比如https://admin.isexample.com/admin/abc?isid=10000012 ),这会导致系统的用户信息泄露,为了避免这种情况产生,我们需要对url中的参数进行签名。

有哪些关注点

  1. url参数放篡改
  2. url参数仿复用、仿重放攻击(url有有效期,生成时间与访问时间间隔太久会阻止访问)
  3. 验证通过后需要重定向一次 防止用户刷新原来的页面导致一次性token再次使用而系统返回错误,还需要一个随机字符串来防止每次的提交可能相同,即除了时间戳还需要一个随机字符串nonce_str
  4. 需要统一时区(比如以0时区为标准)
  5. 私下约定的加密字符串更换成本(使用两个?)
  6. Get请求url太长是否影响、大小写是否影响
  7. 通用性,需要考虑出来当前网页url验证外,还可能在系统其他部分使用(可能被作>统一拦截)
  8. 签名认证的结果是否只对当前页面有效,其他页面是否可以跳过认证(不安全,认证应该是一次性的,每次不同系统的交互都应该重新认证鉴权,如何保证重定向时认证息的传递,页面刷新呢?)
  9. 加密时,需要先做签名再做urlencode,解密时需要先urldecode,再签名对比
  10. url传递的参数值不支持数组形式 比如 a=1&a=2&a=3 是不被支持的
最低0.47元/天 解锁文章
zhangruhong168
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
区块链一——hash函数,签名验证
tianzhiya121的博客
08-26 1966
区块链简介——hash函数、签名验证 Author: 赵阳泽 Date: 2020-08-26 Blockchain是保存持续增长的记录的分布式数据库。 基础知识: hash函数性质(假设输入空间很大,而且平均分布) 1.抵制碰撞:难以找到不同的输入,映射到同一个输出(但是不代表不会出现)。可防篡改,因为篡改输入,输出改变。 2.隐藏:可用于防泄漏。 3.hash(任意长度的消息)->固定长度的消息(数字摘要hash函数常被用于区块链签名: 区块链签名过程分为签名验证,如下: 签名hash
URL中的hash(#)含义
Mary_Code的博客
02-08 2158
hash属性是一个可读可写的字符串,该字符串是URL的锚的部分 "#"代表网页中的一个位置。其右边的字符,就是该位置的标识符 例:http://www.example.com/index.html#print 就代表网页index.html的print位置。浏览器读取这个URL后,会自动将print位置滚动至可视区域。(单页面应用) 为网页位置指定标识符,有两个办法: (1)使用锚点: (2)使用id: HTTP请求不包括"#" ‘#’是用来指导浏览器动作的,对服务器端完全无用。所以,http请求中不包
签名验签过程理解
qq_21209307的博客
06-27 1398
A端向B端发送消息的签名验签过程 A->B: A提取消息m的消息摘要h(m),并使用自己的私钥对摘要h(m)进行加密,生成签名s A将签名s和消息m一起,使用B的公钥进行加密,生成密文c,发送给B B: B接收到密文c,使用自己的私钥解密c得到明文m和数字签名s B使用A的公钥解密数字签名s解密得到H(m) B使用相同的方法提取消息m的消息摘要h(m) B比较两个消息摘要。相同则验证成功;不同则验证失败 ...
后量子签名Hash-and-Sign(上篇)
最新发布
weixin_44885334的博客
06-19 579
Hash-and-Sign 范式:令 fff 是一个公开的 trapdoor OWF,签名者持有其陷门 ttt。我么用 HHH 表示随机神谕(Random Oracle)。给定消息 mmm,签名者访问 RO 获得随机数 d=H(m)d=H(m)d=H(m),令签名值为 s=f−1(d)s=f^{-1}(d)s=f−1(d)。验证者计算 d=f(s)d = f(s)d=f(s),判断它是否等于 H(m)H(m)H(m)。出于安全归约的需要,有时需要引入随机盐 rrr 以及随机带 rdrdrd,签名
url增加签名验证防篡改
李天泉
11-04 2168
学习给API加上签名加密验证功能,摘抄了腾讯支付的说明书文档 ———————————————————————————————————————————————————————————————— 为了提高传输过程参数的防篡改性,必须使用签名参数sig。 签名参数sig生成的步骤 第1步: 把需要包含在签名中的参数按key升序排序。 具体需要包含哪些参数,见各接口参数说明中关于s
论文研究-基于Hash链的流式数据签名验证研究.pdf
07-22
针对流式数据实时性要求和传输中易丢包的特点, 重点分析了Golle 增强链流式数据签名方案, 基于Gilbert-Elliot 网络通道模型, 提出了Hash 值前置的星-链型流式数据签名验证方案。该方案在发送方预先缓存流序列, 可...
密码学课程设计摘要签名加解密聊天软件
09-08
首先,摘要Hash)是一种将任意长度的信息转化为固定长度的短字符串的过程。MD5(Message-Digest Algorithm 5)是常用的摘要算法之一,它能确保数据的完整性,因为即使微小的改动也会导致完全不同的摘要结果。在...
基于可编程hash函数的短签名
05-12
本文利用可编程hash函数设计了一个基于因子分解假设的短签名方案,它具有的优点是:1)签名长度短,只需要一个群上的元素和一个小整数;2)签名验证计算量小,不需要在签名过程中进行生成素数的运算;3)不需要嵌入变色龙...
rzyfileuploadclient_HASH签名安全校验_
10-02
HASH签名是一种常见的数据验证技术,它基于哈希函数(如MD5、SHA-1、SHA-256等)对原始数据进行运算,生成固定长度的哈希值。这个哈希值就像是数据的一个数字指纹,任何对原始数据的微小改动都会导致哈希值的巨大...
rsa数字签名
09-19
RSA数字签名,对明文进行数字化,签名验证,C语言,可直接运行。有界面,在文本框输入需签名的明文,再通过按钮进行操作。
RSA数字签名系统c源码
12-21
用devc++编译器,c语言编写的RSA数字签名系统,代码简单易懂。
filesign.rar_signature_文件签名_签名_验证签名
09-21
它涉及到文件的加密、解密、签名以及验证签名等关键操作。本文将详细解释这些知识点,并通过提及的文件"filesign.rar_signature_文件签名_签名_验证签名"中的"filesign.java"和"www.pudn.com.txt"来探讨其实际应用。...
MD5算法与sign签证
zyzn1425077119的博客
02-28 2531
参考:TS_A1的博客,网址:http://blog.csdn.net/typa01_kk/article/details/491521731 问题说明sign签证的可以解决,参数被修改。让服务器端和客户端都有相同的生成sign的方法,只有前端和后端生成的sign相同,则说明,没有被修改。如参数为:{"option":{"reqtime":xxx},"content":{"password":"2...
MD5数字签名算法:生成签名和验签(附代码)
热门推荐
WatermelonMk的博客
03-08 1万+
一.背景 为了增加接口的安全性(防止中间人攻击),现增加签名算法。此算法参考微信支付中的签名算法,由于该签名针对前后端,采用了对称算法,如后续接口供给多家第三方接口使用可采用非对称算法。大致整理文档供后续开发人员使用阅读。 二. 签名生成步骤 ①设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key...
信息安全实验:信息摘要函数的设计验证
jigsaw6213的博客
04-20 236
一、实验目的 信息摘要函数(Hash函数)的设计与性质验证 二、实验步骤 1.设计符合原理要求的信息摘要函数H(m)。 2.对于如下明文信息m: Once upon a time, there lived a monkey in the woods. The monkey climbed up the tree and looked down at the river everyday. One day, the monkey saw fishermen throw a net over the river
身份证阅读器 php的开发,编写php应用程序实现摘要式身份验证的方法详解
weixin_39680380的博客
03-10 194
通基本身份认证一样,也可以使用PHP网页处理HTTP请求报头字段来匹配摘要式身份验证信息。例如下边的代码使用header()函数要求客户端使用Digest验证,它在HTTP消息报头中增加了一个WWW-Authenticate字段:header('WWW-Authenticate:Digest Realm="MyRealm",nonce="47alf7cf25ce7",algorithm=MD5,q...
接口加签方案
weixin_34247032的博客
05-06 1102
2019独角兽企业重金招聘Python工程师标准>>> ...
开放接口API安全性之签名验证url签名算法】
weixiaohuai的博客
05-29 5671
一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口的安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程中有没有被注入攻击。这时候客户端
数字签名与消息摘要技术详解
"本资源主要介绍了数字签名法的法律背景及其在不同国家的应用,同时深入讲解了消息摘要和数字签名的概念以及单向散列函数,特别是安全散列标准SHS的算法原理。" 数字签名是一种用于确保数据完整性和发送者身份验证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值