接口参数加密+时效性检验+签名

已于 2022-06-15 14:40:03 修改
阅读量4.1k 收藏 6
点赞数 2
分类专栏: Java 文章标签: API 加密
于 2018-11-15 20:38:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zimojiang/article/details/84110555
版权

一个API就是一把开启神圣之门的钥匙.
只有我的子民才能拿着它,
进入我的王国中.

API裸奔,接口暴露, 大门敞开,任何人都可以进入…
接口参数加上公钥,是我发给子民的一把钥匙 . 当一个小偷, 在某个夜黑风高的晚上拿走了这把钥匙, 它也能瞥见我王国的一面.
然后我会在接口参数中再加上时间戳,这是一把带有时间属性的钥匙.只要过了一定的时间,这把钥匙就会失效.就算小偷拿了这把钥匙,时间一过,也就会不起作用.
然而,小偷勤快的,按时蹲点.还是成功的偷走既具时效性,也有公钥的钥匙.
最终, 我吩咐大门守卫,一定要对的上暗号的才能进入.这是加入私钥的签名.

以上, API接口参数加密+ 时效性检验+ 签名.

TestUserController .java


    /**  
    * @Title: TestUserController.java
    * @Package com.jzt.ssm.controller
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.controller;

import java.util.Date;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.TreeMap;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.jzt.ssm.po.Result;
import com.jzt.ssm.po.UserCustom;
import com.jzt.ssm.service.UserinfoService;
import com.jzt.ssm.util.MD5;

    /**
 * @ClassName: TestUserController
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

@Controller
public class TestUserController {
	@Autowired
	private UserinfoService userinfoService;
	/**
	 * 
	 * 
	 * 用户登录
	    * @Title: userLogin
	    * 
	    * @param user(用户名+密码+公钥+时间戳)
	    * @return 登录成功,true,否则 false
	    * 
	    * @author jzt
	 * @throws Exception 
	 */
	@RequestMapping("/userLogin")
	public @ResponseBody Result userLogin(UserCustom user) throws Exception{
		Result result = new Result();
		
		//获得时间戳
		Date timeStamp = user.getTimeStamp();
		Map<String,String> keys = new HashMap<>();
		Date date = new Date();
		if(user.getTimeStamp()==null||timeStamp.getTime()==0||timeStamp.getTime()+ 20000 > date.getTime()){//接口时间失效
			result.setMessage("接口时效失效");
			result.setReturnCode(-1);
		}
		
		if(user.getAccessKey()==null||user.getAccessKey()==""||!keys.containsKey(user.getAccessKey())){ //后台没有该公钥
			result.setMessage("后台没有该公钥");
			result.setReturnCode(-2);
		}
		//公钥 + 私钥
		keys.put("zhangshan", "sdjfkasdgnkdkgdkjdlkg");
		keys.put("lisi", "sddsgjgjkljdgdjjgkfdkfdg");
		
		//使用TreeMap进行升序排
		Map<String,Object> params = new TreeMap<>();
		
		if(user.getAccessKey()!=null) params.put("accessKey", user.getAccessKey());
		if(user.getPassWd()!=null) params.put("passWd", user.getPassWd());
		if(user.getTimeStamp()!=null) params.put("timeStamp", user.getTimeStamp());
		if(user.getUserName()!=null) params.put("userName", user.getUserName());
		params.put("secretKey", keys.get(user.getAccessKey()));
		String paramsStr = "";
		Set<String> keySet = params.keySet();
		Iterator<String> it = keySet.iterator();
		while(it.hasNext()){
			Object key = it.next();
			Object value = params.get(key);
			paramsStr+= key+  "=" + value +"&";
		}
		paramsStr = paramsStr.substring(0,paramsStr.length()-1);
		String sign = MD5.encodeByMD5(paramsStr).toUpperCase();
		if(!sign.equals(user.getSign())){
			result.setMessage("签名失败");
			result.setReturnCode(-3);
		}
		Boolean checklogin = userinfoService.checklogin(user.getUserName(), user.getPassWd());
		if(checklogin){
			result.setMessage("登录成功");
			result.setReturnCode(1);
		}else{
			result.setMessage("用户或密码错误");
			result.setReturnCode(0);
		}
		return result;
		
	}
	

}
MD5.java

    /**  
    * @Title: MD5.java
    * @Package com.jzt.ssm.util
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.util;

import java.security.MessageDigest;


    /**
 * @ClassName: MD5
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class MD5 {
	/** 十六进制下数字到字符的映射数组 */
	  private final static String[] hexDigits = { "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c", "d", "e", "f" }; 
	  /**
     * 对字符串进行MD5编码
     * @param originString
     * @return
     */ 
	  public static String encodeByMD5(String originString) {
		  if (originString != null){
			  try { 
				  MessageDigest md = MessageDigest.getInstance("MD5");
				  byte[] results = md.digest(originString .getBytes());
				  String resultString = byteArrayToHexString(results); 
				  return resultString.toUpperCase(); 
				  } catch (Exception ex) {
					  ex.printStackTrace(); 
					  } 
			  } 
		  return null; 
		  } 
	  /**
     * 转换字节数组为16进制字串
     * 
     * @param b  字节数组
     * @return 十六进制字串
     */ 
	  private static String byteArrayToHexString(byte[] b) {
		  StringBuffer resultSb = new StringBuffer(); 
		  for (int i = 0; i < b.length; i++) { 
			  resultSb.append(byteToHexString(b[i]));
			  } 
		  return resultSb.toString(); 
		  } 
	  /**
     * 将一个字节转化成16进制形式的字符串
     * @param b
     * @return
     */ 
	  private static String byteToHexString(byte b) {
		  int n = b; 
		  if (n < 0) 
			  n = 256 + n; 
		  int d1 = n / 16; 
		  int d2 = n % 16; 
		  return hexDigits[d1] + hexDigits[d2]; 
	}	
}
User.java和UserCustom.java

    /**  
    * @Title: User.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;


    /**
 * @ClassName: User
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class User {
	private String userName;
	private String passWd;
	public String getUserName() {
		return userName;
	}
	public void setUserName(String userName) {
		this.userName = userName;
	}
	public String getPassWd() {
		return passWd;
	}
	public void setPassWd(String passWd) {
		this.passWd = passWd;
	}
}



    /**  
    * @Title: UserCustom.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;

import java.util.Date;


    /**
 * @ClassName: UserCustom
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class UserCustom extends User {
	
	
	//时间戳
	private Date timeStamp;
	//公钥
	private String accessKey;
	
	//签名
	private String sign;
	
	public String getSign() {
		return sign;
	}
	public void setSign(String sign) {
		this.sign = sign;
	}
	public Date getTimeStamp() {
		return timeStamp;
	}
	public void setTimeStamp(Date timeStamp) {
		this.timeStamp = timeStamp;
	}
	public String getAccessKey() {
		return accessKey;
	}
	public void setAccessKey(String accessKey) {
		this.accessKey = accessKey;
	}
	
	

}
Result.java

    /**  
    * @Title: Result.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;


    /**
 * @ClassName: Result
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class Result {
	private String message;
	private int returnCode;
	public String getMessage() {
		return message;
	}
	public void setMessage(String message) {
		this.message = message;
	}
	public int getReturnCode() {
		return returnCode;
	}
	public void setReturnCode(int returnCode) {
		this.returnCode = returnCode;
	}
	
}
涛歌依旧fly
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
接口签名算法
qq_36981190的博客
08-23 624
sha1和MD5算法加密
java api接口加密_如何写出安全的API接口参数加密+超时处理+私钥验证+Https)...
weixin_28873283的博客
02-16 891
原文:http://www.cnblogs.com/codeon/p/6123863.html#35803511.完全开放的接口有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。实话说,这样的接口我们天天都在接触,你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口。我把这称之为裸奔时代。代码如下:/// /// 接口对外公开//...
接口参数加密
yarbrough
08-15 2791
最近,公司有一些接口需要对合作方开放,需要做参数加密以及合作方身份认证,下面是我的做法: 思想:因为部分接口需要加密,所以通过自定义注解,加上注解的接口才进行校验。 我们会为合作方下发 partnerId 和 privateKey ,客户端和服务端保留这两个信息。 加密方式: 1.必须提交的参数 POST提交 signature: 签名 //必填 partnerId: 合作者ID //必填 t...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
API安全设计——实现接口加密
最新发布
m0_61869253的博客
06-23 658
如果需要更高级别的安全性,可以自定义加密算法对API接口的数据进行加密。这通常涉及到加密算法的选择、密钥管理、加密模式等因素。另外,加密算法和密钥的管理也需要严格控制和保护,以防止密钥泄露和数据被破解的风险。
接口安全 时效性+签名+数据加密
@龙猫的博客
09-11 7820
导入maven依赖 <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.11</version> </dependency> <de...
时间日期校验接口
weixin_30552811的博客
10-24 355
http://www.k780.com/api/life.time# http://api.k780.com:88/?app=life.time&appkey=10003&sign=b59bc3ef6191eb9f747dd4e83c99f2a4&format=json 原调用方式:http://api.k780.com/?app=***&appkey=***...
Java 签名加密 + c#签名加密
09-29
综上所述,"Java 签名加密 + C#签名加密"是关于如何在Java和C#之间建立安全的接口通信,利用MD5或其他加密算法确保数据的完整性和一致性。这个主题涵盖了哈希函数、数字签名、编码规范以及跨平台交互的安全策略。在...
基于FPGA+USB接口的硬件加密系统
10-22
利用USB接口技术,结合PC机(能独立运行、完成特定功能的个人计算机。个人计算机不需要共享其他计算机的处理、磁盘和打印机等资源也可以独立工作。今天,个人计算机一词则泛指所有的个人计算机、如桌上型计算机、笔记...
具有时效性的php加密解密函数代码
12-18
这段代码提供了一个具有时效性的PHP加密解密函数,它不仅能够对数据进行加密,还可以在解密时验证数据的完整性和时效性。以下是该函数的详细解析: 首先,定义一个名为`encode_pass`的函数,它接受四个参数: 1. `$...
MD5加密+签名算法Sign生成 工具类
08-04
MD5加密签名算法在IT领域中扮演着重要的角色,特别是在数据安全、用户验证和通信完整性方面。MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它能够将任意长度的数据转换为固定长度的摘要,通常为...
关于支付宝通知接口中,notify id的时效性
ximenxiafeng的专栏
05-25 5769
当支付宝的接口存在页面跳转同步通知方式或服务器异步通知方式时,notify_id基本会在通知返回的url中出现。Notify_id是帮助商户校验商户获取的信息是否是支付宝发来的,这其中也包含了notify_id的时效性问题。 在页面跳转同步通知方式里(return_url),notify_id的有效性一般为1分钟,且在有效期内支持重复使用校验。 在服务器异步通知方式里(notify_url),
API开发之接口安全(三)----sign有效时间
weixin_30407099的博客
08-16 436
之前生成的sign和校验sign我们已经完全掌握了、但是仅仅凭借这样的sign是无法满足我们的需求的,如果一个黑客通过抓包抓到你的数据 他可以去修改你的header为这样的 body为那样的 也是可以通过sign校验的 那么我们怎么解决呢 下面将详细的 为大家解说 首先想到这样的一个问题 我么首先应当考虑到的就是sign的时效性问题 如果 我们的sign只有十秒的时间 那就算抓包 他也...
接口加密处理
weixin_40611700的博客
11-30 4163
如何处理接口加密
Jmeter接口测试-MD5加密-请求验签(完整流程)
01-04 1328
第一部分:先准备好Jmeter 1.在开始编写脚本之前,先要确保你的Jmeter能够正常运行。若你还没有安装Jmeter,可参考以下方法: A.Jmeter需要java运行环境,所以需要下载JDK,JDK下载地址:https://www.oracle.com/technetwork/java/javase/downloads/index.html (最好使用 JDK 8 以...
时效性解读
fenwei88的博客
01-13 8174
一:什么是时效性 1。时效性是指用户对搜索结果新旧程度的感知 2。时效性的重要性 对于用户来说:在满足需求的前提下,用户天然希望获得相对新鲜的资源。 对于开发者来说:持续生产时效性高的优质内容,有利于获得更多内容分发机会。 3。时效性内容的分类: 受时间影响较大的内容(比如新闻事件、周期性更新的资源和持续更新的资源>天气预报/第63届格莱美获奖名单) 比较稳定的内容(固定答案、长期不变的资源、更新已完结或明确指向的资源>甄嬛传70级已完结/通州人民政府所在地) 二:时间因子 1
用java常用加密,解密,数字签名等常用API
设计模式空间
03-29 1099
常用API java.security.KeyPairGenerator 密钥生成器类public static KeyPairGenerator getInstance(String algorithm) throws NoSuchAlgorithmException以指定的算法返回一个KeyPairGenerator 对象参数: algorithm 算法名.如:"DSA","RSA"p
浅谈接口加密
闪亮伞的博客
07-24 2594
客户端在跟服务端进行数据交互的时候,比如登录操作,打开调试窗口,我们在输入用户名密码之后点击登录,可以看到我们调用的登录接口,在接口的返回数据中,可以看到登录的用户名和密码是明文显示,说明该接口没有进行加密操作。如果一个登录接口加密的,那么我们在接口工具中直接使用用户名、密码登录是无法登录成功的,即使你的用户名密码正确,他还是会提示你的用户名密码不正确。......
接口优化实践
weixin_41882200的博客
05-11 149
前言 最近对外接口偶现504超时问题,原因是代码执行时间过长,超过nginx配置的15秒,然后真枪实弹搞了一次接口性能优化。在这里结合优化过程,总结了接口优化的八个要点,希望对大家有帮助呀~ 数据量比较大,批量操作数据入库 耗时操作考虑异步处理 恰当使用缓存 优化程序逻辑、代码 SQL优化 压缩传输内容 考虑使用文件/MQ等其他方式暂存,异步再落地DB 跟产品讨论需求最恰当,最舒服的实现方式 嘻嘻,先看一下我们对外转账接口的大概流程吧 1.数据量比较大,批量操作数据入库 优化前: //for循环单笔入
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涛歌依旧fly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值