第三方 API 接口安全加密方法和认证

最新推荐文章于 2024-05-21 17:17:58 发布
最新推荐文章于 2024-05-21 17:17:58 发布
阅读量584 收藏
点赞数
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzaig/article/details/131510443
版权

认证

与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。

认证方式

Baic 认证
一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。

代码如下:

## 拼接 key
String key = "app_id:app_secrect";
Map<String, String> headers = new HashMap<>();
## Base64 对 key 进行加密
headers.put("Authorization", "Basic " + Base64.encode(key));
request.addHeaders(headers);
Map<String, Object> form = new HashMap<>();
form.put("grant_type", "client_credentials");
form.put("scope", "write");
request.form(form);
request.execute().body();

Baic 认证 + Token

如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。

JSONObject jsonObject = new JSONObject();
jsonObject.put("invoiceTypeNo","04");
HttpRequest httpRequest = HttpUtil.createPost(url);
headers = new HashMap<>();
headers.put("Authorization", "Bearer  ".concat(accessToken));
headers.put("Content-Type","application/json");
httpRequest.addHeaders(headers);
httpRequest.body(jsonObject.toJSONString());
String info = httpRequest.execute().body();

安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。

动态签名

在每次接口调用时都需要传输以下参数:

  • appKey 应用秘钥
  • time 当前时间戳
  • nonce 随机数
  • sign 签名
String appKey = "qwe@2023";
SortedMap<String, String> packageParams = new TreeMap<>();
packageParams.put("time", System.currentTimeMillis()+"");
packageParams.put("nonce ", RandomStringUtils.randomNumeric(8));
String sign = createSign(packageParams, appKey);
packageParams.put("sign", sign);
//发送请求附带相关参数

获取签名:

public static String createSign(SortedMap<String, String> packageParams, String appKey) {
        StringBuffer sb = new StringBuffer();
        Set es = packageParams.entrySet();
        Iterator it = es.iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String k = (String) entry.getKey();
            String v = (String) entry.getValue();
            if (StringUtils.isNotBlank(v)) {
                sb.append(k + "=" + v + "&");
            }
        }
        sb.append("key=" + appKey);
        return HMACUtil.HMACSHA256(sb.toString(),appKey);
}

HMACSHA256 加密:

在这里插入图片描述

public static String HMACSHA256(String data, String key){
        try {
            Mac  sha256_HMAC = Mac.getInstance("HmacSHA256");
            SecretKeySpec secret_key = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");
            sha256_HMAC.init(secret_key);
            byte[] array = sha256_HMAC.doFinal(data.getBytes("UTF-8"));
            StringBuilder sb = new StringBuilder();
            for (byte item : array) {
                sb.append(Integer.toHexString((item & 0xFF) | 0x100), 1, 3);
            }
            return sb.toString().toUpperCase();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
}
  • 服务端使用相同的方式生成签名进行对比认证,无需在网络上传输 app_key 可以防止中间人攻击
  • 通过 time 参数判断请求的时间差是否在合理范围内,可防止重放攻击
  • 通过 nonce 参数进行幂等性判断
lcz-2000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口安全策略文档
06-29
首先,针对伪装攻击,即第三方非法调用接口,我们可以通过严格的权限控制和身份验证机制来防止。API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出...
PHP开发api接口安全验证操作实例详解
10-15
在PHP开发中,API接口安全验证是至关重要的,它能防止未经授权的第三方恶意调用接口,保护系统的数据安全。本文将深入探讨如何在PHP中实现API接口安全验证,并通过具体的实例来阐述其工作原理和操作步骤。 首先...
三方对接时常用的加密方式
AnNanDu的博客
03-31 2166
一般在三方暴露对外api时都会通过加密参数来保证数据的不可篡改行,而加密方式多种多样,像MD5、sha1、Base64、sha256、AES等各种加密编码算法。 而在验证用户方面会用到分配给用户的appkey及appSecret等信息,在参数传递的时候会将appKey或者appId作为公共参数传递以在三方符合获取此账户权限及秘钥,而秘钥则是隐示的存在参数加密编码中,三方按相同规则加密编码比对传输编码来保证数据没有被篡改。 而还有可能会对接口版本跟请求有效期进行传参限制,会增加版本参数v及时间戳等参数来限
第三方接口鉴权加密方式
最新发布
Assassinhanc的博客
05-21 757
接口URL应简洁明了,遵循公司或项目的命名规范。●使用HTTPS协议,确保数据传输的安全性。●接口URL路径应反映资源的层次结构,路径规范 /{版本}/api/{业务类型}/{方法名},例如/v1/api/store/getlist。●接口URL路径不区分大小写。
接口数据加密方式
m0_38084895的博客
12-26 1117
API接口数据加密 对请求来源IP地址进行判断 对appid进行确认是否存在 判断时间戳是否在有效时间内 对验签sign进行校验,判断是否正确 对某些特定请求利用Token进行校验(判断token是否正确和token是否可用) 主要在过滤器和拦截器中集中处理,对于token也可利用spring的AOP进行处理等 ...
API认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5144
服务开发干活,API认证方法总结
第三方接口加密规则
weixin_30724089的博客
07-21 484
@第三方接口加密规则 获得appid和secretKey php版签名算法 function getCarInfor(Request $request) { //构建请求参数体 $poss['appId'] = "你的app id"; $poss['keyword'] = $keywrord;//关键词 $poss['limit'] = $limit;// 条数 $uuid = Uuid::uuid1(); $poss['uuid'] = $u
工作实战之系统交互api调用认证设计
zengliangxi的专栏
02-23 654
系统间接口调用,接口文档及实现,包括api认证授权,包括参数sha256加盐哈希,sign,md5签名,各种手段保证接口调用的安全
第三方登录接口资源
02-17
在使用第三方登录接口时,必须确保数据传输的安全性,例如使用HTTPS协议加密通信,妥善保存和管理access_token,防止被恶意利用。同时,应遵守各平台的使用政策,保护用户隐私。 8. **最佳实践** - 遵循最小权限...
新中新电子 C# 调用 第三方接口
06-01
1. **了解接口文档**:首先,你需要详细阅读第三方接口的文档,了解接口的URL、请求方法(如GET、POST)、所需参数、响应格式(如JSON或XML)等信息。 2. **创建HTTP请求**:使用C#的`System.Net.Http`命名空间,...
第三方单点登录Ecology方案
03-20
在IT行业中,第三方单点登录(Third-party Single Sign-On,3SSO)是一种常见的身份验证解决方案,它允许用户通过一个中央认证系统访问多个相互独立的应用系统,而无需反复登录。"第三方单点登录Ecology方案"是针对...
第三方API对接如何设计接口认证
zlt2000的博客
07-02 1567
一、前言 在与第三方系统做接口对接时,往往需要考虑接口安全性问题,本文主要分享几个常见的系统之间做接口对接时的认证方案。   二、认证方案 例如订单下单后通过 延时任务 对接 物流系统 这种 异步 的场景,都是属于系统与系统之间的相互交互,不存在用户操作;所以认证时需要的不是用户凭证而是系统凭证,通常包括 app_id 与 app_secrect。 app_id与app_secrect由接口提供方提供 2.1. Baic认证 这是一种较为简单的认证方式,客户端通过明文(Base64编码格式.
调用第三方接口进行Basic认证
weixin_45724648的博客
12-26 488
第三方接口调用
接口对接常用加密方法
燃灯工作室
03-09 2735
和第三方对接加密,通常需要进行字段加密,再进行传输。 1.XML排序后加密 项目实践中,和百年保险对接使用到了这种加密 import xmltodict import hashlib from lxml import etree # 计算加密串 def xml_sorting_sha256(xml_str, secret_str): """ 插入xml字符串,返回排序好后并且加密的串 排序规则为 按字母升序排序后加上加密密钥secret,进行SHA-256加密
接口测试之必会接口加密类型
软件自动化测试技术交流、资源分享
03-20 288
需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。因此加密安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。
接口加密
weixin_45656577的博客
10-21 185
对称加密 概念 对称加密是最快速、最简单的一种加密方式,加密(encryption)与解密(decryption)用的是同 样的密钥(secret key)。对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密 协议的核心当中。 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES 非对称加密 概念 非对称加密为数据的加密与解密提供了一个非常安...
java接口加密方式_api接口数据加密和身份验证详解
weixin_42128315的博客
02-25 2662
一、加密方式对称加密和非对称加密。对称加密:加解密是同一个密钥,速度快,数据接收方需要公布其私钥给数据传输方,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据或数据文件的加解密。非对称加密加密用公钥,解密用私钥。公钥和私钥是成对的(可借助工具生成,如openssl等),即用公钥加密的数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据或数据文...
三方对接接口数据安全问题
白云苍狗
07-29 560
三方对接、AES加密解密、每次请求均会对请求来源以及数据的合法性进行校验,采取以下策略,之后接口明细中会说明采用哪种加密方式。接口说明获取调用凭据,有效期24h、获取后之后调用接口添加到请求头。并通过MD5对全部数据进行加密、接收方对其进行校验证,示例如下。涉及敏感数据,采用AES进行加解密,注意妥善保管密钥,示例如下。常规数据加密,每次请求数据添加随机字符串。小记一下在与第三方对接过程的一些操作。...
如何通过API对接第三方系统数据
05-30
1. 确定API接口:首先需要确定第三方系统提供的API接口,包括接口地址、请求方式、请求参数等。 2. 开发API调用程序:根据API接口文档,开发API调用程序。一般需要使用编程语言(如Python、Java等),通过HTTP请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值