Android 接口加签的使用

最新推荐文章于 2024-04-29 17:16:20 发布
最新推荐文章于 2024-04-29 17:16:20 发布
阅读量675 收藏
点赞数 1
分类专栏: 移动开发 文章标签: android 接口加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhujiangtaotaise/article/details/108407418
版权

为什么要做接口加签呢,目的就是防止别人恶意估计,就是频繁的调用例如 发短信验证的接口,导致公司产生高昂的短信费用。

那么接口加签就可以解决这个问题了,但是需要客户端和服务端约定好。以下就是加签的过程。

步骤一:服务端给我们一个接口来获取RAS的公钥,或者将服务端的公钥写死在客户端。
这里为了方便说明,我们是将公钥放在本地的。

例如,我们拿到的密钥为:KEY = “kqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDFCVD2j”

然后 通过算法获取对应KEY 的密钥对象 RSAPrivateKey :

  public static RSAPrivateKey loadPrivateKey(String privateKeyStr) {
        RSAPrivateKey key = null;
        try {
            PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(Base64.decode(privateKeyStr, Base64.DEFAULT));
            KeyFactory keyFactory = KeyFactory.getInstance("RSA");
            key = (RSAPrivateKey) keyFactory.generatePrivate(pkcs8EncodedKeySpec);
        } catch (NoSuchAlgorithmException e) {
            Logger.e(e);
        } catch (InvalidKeySpecException e) {
            Logger.e(e);
        } catch (NullPointerException e) {
            Logger.e(e);
        }
        return key;
    }

然后将时间戳、应用的一些信息,如版本号、包名等,拼接成字符串 info,然后将 生成的 info作为http请求的 header 的Value, Key 可以和后台约定好,假设为 base-info。

 .addHeader("base-info", info)

如果有请求体,那么需要对类型为json的请求体和上面的info拼接生成字符串 originData

然后再用和后端约定的对称加密算法 对 上面的 originData 进行加密生成 encryData。

然后将 生成的 encryData 作为http请求的 header 的Value , Key 可以和后台约定好,假设为 signature。

.addHeader("signature", encryData)

服务端 : 服务端通过相同的规则,将info 和 originData 拼接起来作为result,然后利用之前约定对称加密算法 进行验证 result 和 encryData 是否匹配。

下面给出代码:
我这边是通过 给 Retrofit 的 OkHttp设置 inteceptor来实现的:

public class SignInterceptor implements Interceptor {
    private static final String TAG = "SignInterceptor";
    private static final Charset UTF8 = Charset.forName("UTF-8");
    private static final String PKG_NAME = Engine.getInstance().getContext().getPackageName();
    private static final String DEVICE_ID = DeviceUtils.getUUID();
    private static final String IFULI_OS_INFO = "pig|" + AppUtils.getAppVersion(Engine.getInstance().getContext()) + "|" + PKG_NAME + "|" + DEVICE_ID;
    private static final RSAPrivateKey KEY = EncryptUtils.loadPrivateKey("MIIEvQIBAxxx90YCGOPf8CjAZQUQ7Ke+j8DXRoBYjDlhXXETMP/A3tZ26k0X4iW5/BSDw4HGSHQdcD13CeDb3O60rsbZckJGYg1s=");
    private static final RSAPublicKey TEST_KEY = EncryptUtils.loadPublicKey("MIIBIjANBgkqhkiG9w0BAQ3V1oqGj0pOwK2Prpfgx6NcHV7NLynEvh+bU03hLnn73MJc0uD+aaWsawIDAQAB");
    private static final int RSA = 1;
    private static final Pattern PATH_PATTERN = Pattern.compile("/v\\d+/");

    @Override
    public Response intercept(Chain chain) throws IOException {
        return chain.proceed(createSignRequest(chain.request()));
    }

    private Request createSignRequest(Request request) {
        String timestamp = String.valueOf(System.currentTimeMillis());
        String sign = createSign(request, timestamp);
        return request.newBuilder()
                .addHeader("pig-info", IFULI_OS_INFO)
                .addHeader("pig-signature", timestamp + "|" + RSA + "|" + sign)
                .build();
    }

    private String createSign(Request request, String timestamp) {
        StringBuilder signBuilder = new StringBuilder();

        appendSignValue(signBuilder, IFULI_OS_INFO);

        String path = request.url().encodedPath();
        appendSignValue(signBuilder, subPath(path));

        String query = request.url().query();
        appendSignValue(signBuilder, sortQuery(query));

        String body = null;
        RequestBody requestBody = request.body();
        //只对json类型请求加签,否则可能是上传图片啥的
        try {
            if (requestBody != null && requestBody.contentType() != null &&
                    "application".equalsIgnoreCase(requestBody.contentType().type()) &&
                    "json".equalsIgnoreCase(requestBody.contentType().subtype())) {
                Buffer buffer = new Buffer();
                requestBody.writeTo(buffer);
                body = buffer.readString(UTF8);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        appendSignValue(signBuilder, body);

        appendSignValue(signBuilder, timestamp);

        String originalSign = signBuilder.toString();
        String sign = EncryptUtils.signSHA256withRSAPrivate(KEY, originalSign);
        if (Engine.getInstance().isDebug()) {
            Logger.d(TAG, "original sign: " + originalSign + "\nfinal sign: " + sign + "\nverify result: " + EncryptUtils.verifySignSHA256withRSAPublic(TEST_KEY, originalSign, sign));
        }
        return sign;
    }

    private String subPath(String path) {
        if (TextUtils.isEmpty(path)) {
            return path;
        }
        int index = 0;
        try {
            Matcher m = PATH_PATTERN.matcher(path);
            if (m.find()) {
                index = m.start();
            }
        } catch (Exception e) {
            Logger.e(e);
        }
        return path.substring(index);   //保留'/',结果为'/v1/xxx'
    }

    private String sortQuery(String query) {
        if (TextUtils.isEmpty(query) || !query.contains("&")) {
            return query;
        }
        String[] params = query.split("&");
        List<String> list = Arrays.asList(params);
        Collections.sort(list);
        StringBuilder ret = new StringBuilder();
        for (String s : list) {
            ret.append(s).append("&");
        }
        return ret.toString().substring(0, ret.length() - 1);
    }

    private void appendSignValue(StringBuilder signBuilder, String value) {
        if (TextUtils.isEmpty(value)) {
            return;
        }
        signBuilder.append(value);
    }
}


public class EncryptUtils {
    /**
     * 字节数据转字符串专用集合
     */
    private static final char[] HEX_CHAR = {'0', '1', '2', '3', '4', '5', '6',
            '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};

    /**
     * @param text 要加密的字符串
     * @return 加密的字符串
     * SHA1加密
     */
    public static String SHA1(String text) {
        try {
            MessageDigest digest = MessageDigest
                    .getInstance("SHA-1");
            digest.update(text.getBytes());
            byte messageDigest[] = digest.digest();
            // Create Hex String
            StringBuffer hexString = new StringBuffer();
            // 字节数组转换为 十六进制 数
            for (int i = 0; i < messageDigest.length; i++) {
                String shaHex = Integer.toHexString(messageDigest[i] & 0xFF);
                if (shaHex.length() < 2) {
                    hexString.append(0);
                }
                hexString.append(shaHex);
            }
            return hexString.toString();

        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return "";
    }

    public static long CRC32(String text) {
        CRC32 crc32 = new CRC32();
        crc32.update(text.getBytes());
        return crc32.getValue();
    }

    /**
     * 从字符串中加载公钥
     *
     * @param publicKeyStr 公钥数据字符串
     */
    @Nullable
    public static RSAPublicKey loadPublicKey(String publicKeyStr) {
        RSAPublicKey key = null;
        try {
            KeyFactory keyFactory = KeyFactory.getInstance("RSA");
            X509EncodedKeySpec keySpec = new X509EncodedKeySpec(Base64.decode(publicKeyStr, Base64.DEFAULT));
            key = (RSAPublicKey) keyFactory.generatePublic(keySpec);
        } catch (NoSuchAlgorithmException e) {
            Logger.e(e);
        } catch (InvalidKeySpecException e) {
            Logger.e(e);
        } catch (NullPointerException e) {
            Logger.e(e);
        }
        return key;
    }

    /**
     * 从字符串中加载公钥
     *
     * @param privateKeyStr 密钥数据字符串
     */
    @Nullable
    public static RSAPrivateKey loadPrivateKey(String privateKeyStr) {
        RSAPrivateKey key = null;
        try {
            PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(Base64.decode(privateKeyStr, Base64.DEFAULT));
            KeyFactory keyFactory = KeyFactory.getInstance("RSA");
            key = (RSAPrivateKey) keyFactory.generatePrivate(pkcs8EncodedKeySpec);
        } catch (NoSuchAlgorithmException e) {
            Logger.e(e);
        } catch (InvalidKeySpecException e) {
            Logger.e(e);
        } catch (NullPointerException e) {
            Logger.e(e);
        }
        return key;
    }

    /**
     * 公钥加密过程
     *
     * @param publicKey     公钥
     * @param plainTextData 明文数据
     * @return
     */
    @Nullable
    public static byte[] encryptRSAPublic(RSAPublicKey publicKey, byte[] plainTextData) {
        byte[] output = null;
        if (publicKey == null) {
            Logger.d("public key is empty");
            return output;
        }
        Cipher cipher = null;
        try {
            // 使用默认RSA
            cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
            // cipher= Cipher.getInstance("RSA", new BouncyCastleProvider());
            cipher.init(Cipher.ENCRYPT_MODE, publicKey);
            output = cipher.doFinal(plainTextData);
        } catch (NoSuchAlgorithmException e) {
            Logger.e(e);
        } catch (NoSuchPaddingException e) {
            Logger.e(e);
        } catch (InvalidKeyException e) {
            Logger.e(e);
        } catch (IllegalBlockSizeException e) {
            Logger.e(e);
        } catch (BadPaddingException e) {
            Logger.e(e);
        }
        return output;
    }

    @Nullable
    public static String signSHA256withRSAPrivate(RSAPrivateKey privateKey, String data) {
        String ret = null;
        try {
            Signature signature = Signature.getInstance("SHA256withRSA");
            signature.initSign(privateKey);
            signature.update(data.getBytes());
            ret = Base64.encodeToString(signature.sign(), Base64.NO_WRAP);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return ret;
    }

    public static boolean verifySignSHA256withRSAPublic(RSAPublicKey publicKey, String data, String sign) {
        boolean ret = false;
        try {
            Signature signature = Signature.getInstance("SHA256withRSA");
            signature.initVerify(publicKey);
            signature.update(data.getBytes());
            ret = signature.verify(Base64.decode(sign, Base64.NO_WRAP));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return ret;
    }

    @Nullable
    public static String signMD5withRSAPrivate(RSAPrivateKey privateKey, String data) {
        String ret = null;
        try {
            Signature signature = Signature.getInstance("MD5withRSA");
            signature.initSign(privateKey);
            signature.update(data.getBytes());
            ret = Base64.encodeToString(signature.sign(), Base64.NO_WRAP);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return ret;
    }

    public static boolean verifySignMD5withRSAPublic(RSAPublicKey publicKey, String data, String sign) {
        boolean ret = false;
        try {
            Signature signature = Signature.getInstance("MD5withRSA");
            signature.initVerify(publicKey);
            signature.update(data.getBytes());
            ret = signature.verify(Base64.decode(sign, Base64.NO_WRAP));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return ret;
    }

    /**
     * 利用java原生的类实现SHA256加密
     * @param str 加密后的报文
     * @author
     */
    public static String getSHA256(String str) {
        MessageDigest messageDigest;
        String encodestr = "";
        try {
            messageDigest = MessageDigest.getInstance("SHA-256");
            messageDigest.update(str.getBytes("UTF-8"));
            encodestr = byte2Hex(messageDigest.digest());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return encodestr;
    }

    /**
     * 将byte转为16进制
     *
     * @author CaoLu.
     */
    private static String byte2Hex(byte[] bytes) {
        StringBuffer stringBuffer = new StringBuffer();
        String temp = null;
        for (int i = 0; i < bytes.length; i++) {
            temp = Integer.toHexString(bytes[i] & 0xFF);
            if (temp.length() == 1) {
                // 1得到一位的进行补0操作
                stringBuffer.append("0");
            }
            stringBuffer.append(temp);
        }
        return stringBuffer.toString();
    }
}

最重要的是要和后端定好拼接的规则,其他的倒是没什么难点。

小猪快跑22
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
request body数据多次读取解决方案及通用签名校验方式
fajing_feiyue的博客
11-02 3055
当用请求体里面的参体的参数用以签名的时候,就会遇到request body里面数据只能读取一次,再次读取就null的情况。故这里将解决多次读取request body的解决方案。 扩展HttpServletRequestWrapper,使用请求InputStream和基本缓存字节。并将过滤的优先级设为最前的优先级,是后续再请求体获取数据不至于为空。 @Configuration public cl...
Android WebView拦截iframe标签内部跳转教程
08-19
WebViewClient 是 Android WebView 中的一个接口,用于处理 WebView 的事件,例如页面加载完成、页面加载失败等。WebChromeClient 是 Android WebView 中的一个接口,用于处理 WebView 的 UI 事件,例如创建新的窗口...
Android应用安全防护实践一网络请求参数签名校验(二)
热门推荐
weixin_44515491的博客
01-20 1万+
这个东西就比较简单了 先上个小demo public static HttpParams sign(Map&amp;amp;lt;String, String&amp;amp;gt; paramValues, List&amp;amp;lt;String&amp;amp;gt; ignoreParamNames) { try { paramValues.put(&amp;quot;timestamp&amp;quot;,
接口测试必备技能—加密和签名
最新发布
HUA1211的博客
04-29 534
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
关于Android中RSA数字签名的理解及使用
Hksangs的博客
12-01 2129
关于RSA数字签名Android 什么是RSA 我自己的理解 客户端请求服务器的数据 服务器响应客户端的数据 思路 大概流程 注意 加密解密工具类的代码 使用样例关于RSA数字签名(Android)近期项目中考虑到数据比较重要,担心与服务器交互过程中被篡改,所以引用了数据签名的技术。什么是RSA:RSA是一种非对称的加密算法,RSA的加密解密中有一对密钥(公钥和私钥),通过公钥加密的密文只能通过对应
一文搞懂加密接口签名小知识
weixin_44867191的博客
07-28 1463
接口加密知识科普
如何设计一个安全对外的接口加签验签了解一下
pengjianglilive的专栏
11-11 438
密码学相关概念 加签验签概念 为什么需要加签验签 加密算法简介 加签验签相关API 加签验签代码实现 公众号:捡田螺的小男孩 本文已经收录到个人github,文章有用的话,可以给个star呀: github.com/whx123/Java… 密码学相关概念 明文、密文、密钥、加密、解密 明文:指没有经过加密的信息/数据。 密文:明文被加密算法加密之后,会变成密文,以确保数据安全。 密钥:是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对
apksigner加签工具
05-31
`apksigner`工具的使用非常简单,主要通过命令行接口执行。以下是一些基本的命令示例: - **生成签名密钥对**: ``` keytool -genkeypair -v -keystore my-release-key.keystore -alias alias_name -keyalg RSA -...
Android Html支持字体大小和加粗样式(可扩展)
09-17
首先,`<size>`标签在早期的Android版本中被用来控制文本的大小,但自Android API 16(Jelly Bean)起,这个标签已被废弃,开发者应该使用CSS的`<font-size>`属性来替代。`<font-size>`属性允许我们设置字体的大小,...
读写15693标签Android示例源码.rar
08-23
2. **连接USB设备**:使用`UsbManager`接口查找并连接到USB发卡器。需要确保设备已被用户授权访问。 3. **加载So库**:通过System.loadLibrary()方法加载包含15693协议读写函数的本地库。 4. **调用C/C++函数**:...
Android 实现 标签 拖动 改变位置
05-06
Android中,拖放是通过`View.OnDragListener`接口实现的。当用户触摸并移动一个视图时,系统会启动一个拖放操作。在这个过程中,我们可以通过监听拖放事件来处理拖放行为,包括开始拖放、移动过程以及拖放结束。 ...
Android获取App签名的SHA1、SHA256等方法
qq_25330791的博客
09-26 1622
Android获取App签名的SHA1、SHA256等方法
判断程序是否在后台运行工具
qq_34211554的博客
03-27 258
public class AppUtils {    /**     * 判断应用是否在后台     */    public static boolean isBackgroundRunning() {        try {            Context context = BaseApp.getInstance();            if(context == null) r...
Android apk信息获取管理和手机信息获取管理
abliudede的博客
02-07 366
个人学习总结,如有侵权请留言联系删除,忘海涵。 例一:apkinfo文件 package com.utils.data; import com.shennongshi.dingdong.MApplication; import android.content.pm.ApplicationInfo; import android.content.pm.PackageInfo; import
API接口防篡改(加签验签)原理
th1996的博客
05-13 3690
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.csdn.net/claram/article/details/98184448
android接口签名,接口签名(sign)
weixin_39630048的博客
06-03 407
一版package com.toltech.phatent.test;import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.JSONObject;import com.toltech.phatent.commons.bean.ReadedReq;import com.toltech.phatent.commons.utils.Cr...
android怎么加签名验证,android 常用api 接口签名验证
weixin_32252533的博客
05-29 855
从登录注册说起该验证的全部过程:1.android 登录时一般是这样: loginData.put("name", userNameText.toString());loginData.put("password", passWordText.toString());loginData.put("platform", "android");//同步方式try {//调用登录接口网络请求JSONOb...
AES加密加签验签
weixin_30432579的博客
04-28 657
//生成P加密参数:package com.paic.pad.info.common.utils; import java.io.UnsupportedEncodingException; import java.net.URLDecoder; import java.net.URLEncoder; import java.security.Key; import java....
【项目】API接口加签验签
雨下一整晚real的博客
09-10 3957
接口的安全性,和网络是分不开的。所以大多数情况下,还是需要考虑网络环境的安全性。提到的解决方案,也有很多思想借鉴于网络协议。API接口入门(二):API接口的签名验签和加解密原理API 接口签名验签_新猿一马的博客-CSDN博客_接口签名。
android sdk 接口
09-01
Android SDK提供了很多接口供开发者使用。可以在AndroidManifest.xml中使用uses-library来引入某个库的接口。这样做的好处是可以将业务逻辑和实现分离,让其他应用也可以使用这些接口。 另外,还可以通过创建一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值