kong笔记——使用hmac auth

已于 2022-03-09 16:37:23 修改
阅读量2k 收藏 3
点赞数
分类专栏: kong 文章标签: java 开发语言 后端
于 2022-02-25 14:11:09 首次发布
原文链接:https://blog.csdn.net/u014686399/article/details/100121736
版权

kong笔记——目录导航

前言

通常所说的保证接口安全究竟是在说什么?首先没有绝对的安全,对于反编译逆向工程这里不做讨论。我们要解决的问题是,确保后端接口收到的请求是由我们自己的APP所发出, 中间传输过程中内容不能被篡改,不能有同行通过抓包分析接口的请求报文然后随意调用。 那么这个hmac认证能解决上述问题吗?https可以解决上述问题吗?https只能保证数据不被篡改,但是信源无法保证。 http协议是明文的文本协议,https会对数据包进行加密,但是https请求仍然可以被抓包,并解密其中的内容,只需要伪造一个自签名的根证书, 所有的抓包工具如果需要抓https请求必然要在手机安装一个证书。所以单纯的https并不能保证接口不暴露。 当使用hmac加密签名时,只要secret不泄露,该请求就不会被伪造,也就是即使知道接口地址和参数,但是也无法传递正确的参数,只能是一直在复用由app发出的请求参数, 并且由于hmac协议中clock skew配置,这些参数也不能一直复用下去。

hmac简述

hmac是Hashing for Message Authentication的简写,可以用来保证数据的完整,客户端把内容通过散列/哈希算法算出一个摘要,并把算法和内容以及摘要传送给服务端,服务端按照这个算法也算一遍,和摘要比一下如果一样就认为内容是完整的,如果不一样就认为内容被篡改了。

HMAC是一种利用密码学中的散列函数来进行消息认证的一种机制,所能提供的消息认证包括两方面内容:

①消息完整性认证:能够证明消息内容在传送过程没有被修改。

②信源身份认证:因为通信双方共享了认证的密钥,接收方能够认证发送该数据的信源与所宣称的一致,即能够可靠地确认接收的消息与发送的一致。

HMAC是当前许多安全协议所选用的提供认证服务的方式,应用十分广泛,并且经受住了多种形式攻击的考验。

HMAC与一般的加密重要的区别在于它具有“瞬时"性,即认证只在当时有效,而加密算法被破解后,以前的加密结果就可能被解密。

关于Kong的hmac说几点
  • Clock Skew
    使用Kong的hmac后,请求必须带有Date和x-date请求头,这个是防止重放攻击(Replay Attacks),默认的情况下,客户端传过来的时间和服务端的时间相差300s,Kong就认为这个请求是有问题的。这个值可以修改的,通过修改config.clock_skew的参数
  • Headers的完整性
    使用Kong的hmac来确保请求头的完整性。具体要确保那个头,这个也是可以配置的,下面会演示。官方推荐,最差应该是 request-line, host, and date这三个头,最好是全部的头。
  • Body的完整性
  • 使用Kong的hmac可以确保请求内容的完整性,下面会演示
确保请求头的完整性

  • 基础环境准备
    你要有一个正常的route和service,如果没有的话,可以参考https://blog.csdn.net/u014686399/article/details/100084613,我的试验也是基于这个博客的

  • 针对服务启用插件

/services/2fc52878-1fe9-48ba-bc45-146da3822851/plugins
{
	"name":"hmac-auth",
	"config": {
		"enforce_headers": ["testhamc"],
		"algorithms": ["hmac-sha1", "hmac-sha256"]
	}
}
  • 2fc52878-1fe9-48ba-bc45-146da3822851这个是服务的id,当然你可以针对route启用插件
  • hmac-auth这个是固定值, 插件的名字
  • config.enforce_headers这是指定你要校验的头,我这里用了一个testhamc,如果你是生产环境还是遵循一下官网的建议吧
  • 创建一个consumer
consumers/ POST
{
	"username":"xjj_user_01",
	"custom_id":"users_001"
}
  • 创建证书
/consumers/f4c713c0-6bf1-4079-83a0-135180d6ba53/hmac-auth  POST
{
	"username":"rita",
	"secret":"123.com"
}
  • f4c713c0-6bf1-4079-83a0-135180d6ba53这个是consumer的id
  • secret是用来做算法的key的,算法一般会用sha256或者sha1
  • 测试
    • 直接访问
      在这里插入图片描述
      可以看到直接访问不了了
    • 添加Authorization头
#  首先确定一下testhamc头,因为这是我自定义的头,所以值我就自定义为123456
#  做签名,我是通过java实现的

```text
<dependency>
    <groupId>commons-codec</groupId>
    <artifactId>commons-codec</artifactId>
    <version>1.15</version>
</dependency>

public static String sign(String secret, String message) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
            mac.init(secretKey);
            return Base64.encodeBase64String(mac.doFinal(message.getBytes()));
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            throw new IllegalArgumentException("签名错误:" + e.getMessage());
        }
    }

public static void main(String[] args) {
        String secret = "123.com";
        String message = "testhamc: 123456";
        String sign = sign(secret, message);
        System.out.println(sign);//cnKy69DPkd1rycOvz5biWTJ6rk/UObLAXrNzEOCF4TE=
    }

再次访问

curl -i -X GET http://172.16.0.92:31545/xjj_tv/main \
      -H "testhamc: 123456" \
      -H 'Authorization: hmac  username="rita", algorithm="hmac-sha256", headers="testhamc", signature="cnKy69DPkd1rycOvz5biWTJ6rk/UObLAXrNzEOCF4TE="'
  • username是证书的用户名
    在这里插入图片描述
    会提示我们添加一个DATE的头

  • 添加后再访问

    java版本获取时间

	/**
     * 获取当前GMT format 时间
     *
     * @return
     */
    public static String getGMTTime() {
        DateFormat dateFormat = new SimpleDateFormat("EEE, dd MMM yyyy HH:mm:ss 'GMT'", Locale.US);
        dateFormat.setTimeZone(TimeZone.getTimeZone("GMT"));
        return dateFormat.format(Calendar.getInstance().getTime());
    }

curl -i -X GET http://172.16.0.92:31545/xjj_tv/main \
      -H "Date: Web, 28 Aug 2019 09:09:00 GMT" \
      -H "testhamc: 123456" \
      -H 'Authorization: hmac  username="rita", algorithm="hmac-sha256", headers="testhamc", signature="cnKy69DPkd1rycOvz5biWTJ6rk/UObLAXrNzEOCF4TE="'
  • DATE是 GMT格式的,和服务器上不能相差300秒
    在这里插入图片描述
    访问通过了
确保body的完整性

需要在kong的hmac插件上,打开validate request body = true的开关!!!!!

body数据签名验证需要增加另一个header:Digest,value为:Digest: SHA-256=base64(sha256()),例如:SHA-256=RgecWaKvMqh5T79Ps93OuyZ5CZuPnZ6dTgsh5i9xJUs=
注意有个前缀:SHA-256=!!!

  • 确定一个body
body肯定是事先确定的,我这里定的内容是 {“appkey”:"123"}
  • 制作body的签名,我是通过java实现的
public static String String2SHA256(String str) {
        try {
            MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
            byte[] hash = messageDigest.digest(str.getBytes());
            return Base64.encodeBase64String(hash);
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException("签名错误:" + e.getMessage());
        }
    }

public static void main(String[] args) {
        Map<String, String> map = new HashMap<>(1);
        map.put("appkey", "123");
        String body = JSON.toJSONString(map);
        System.out.println(String2SHA256(body));//YKnEib/1qa6/suFFavmKF296fLlZ9sDJDv+zUGQM7q0=
    }
  • 测试
curl -i -X GET http://172.16.0.92:31545/xjj_tv/main   \
-H "Date: Web, 28 Aug 2019 10:20:00 GMT"  \
 -H "testhamc: 123456"   \     
 -H 'Authorization: hmac  username="rita", algorithm="hmac-sha256", headers="testhamc", signature="cnKy69DPkd1rycOvz5biWTJ6rk/UObLAXrNzEOCF4TE="'  \
 -H "Digest: SHA-256=l12ueyMM3AyCTH8uE9Cs3PVF1ZGR29rhi1l+SsuJzEI="  \
  -d '{"appkey":"123"}'

在这里插入图片描述测试通过

Zz罗伯特
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hmac-auth-express:用于Express的HMAC中间件
04-29
HMAC Auth Express描述该软件包提供用于HMAC身份验证的中间件。 零依赖性,定时安全,100%代码覆盖率,支持所有节点哈希算法,防止重放攻击。安装纱yarn add hmac-auth-express npm npm install hmac-auth-express ...
java OAuth1.0加密请求 加密方式HMAC-SHA256 可替换其他加密方式
a_778899的博客
03-20 338
/替换自己的请求头信息。//HMAC-SHA256加密方法 可替换为其他方式加密。//body 可作为参数变量传进方法中。使用scibe实现签名请求。
kong Hmac auth 认证
别忘了微笑
03-04 160
【代码】kong Hmac auth 认证。
HMAC算法以及工作原理
最新发布
扬帆起航
04-20 2686
HMAC算法以及工作原理
kong api网关hmac-auth认证插件的使用
qq_39170899的博客
08-05 2085
1、安装hamc-auth插件 我这里使用kong管理界面为konga,在插件中选择hmac-auth插件 接下来我们对hmac-auth插件进行配置 下一步就是如何请求使用hmac-auth插件的网关了,我这里语言使用的是java,加密算法使用的是hmac-sha256,不多说,直接上代码 package com.kong.demo.test; import org.apache.http.HttpResponse; import org.apache.http.client.met
kong系列八】之HMAC认证hmac-auth插件
|] 大世界,小人物
08-18 6167
hmac 插件 构造签名header Authorization: hmac username="userhmac", algorithm="hmac-sha1", headers="X-Date Content-md5", signature="LqkezHTAuk/Sk3RTbguHHYZGt/8=" X-Date: Mon, 31 Jul 2017 07:23:02 GMT Content-md5: IgWlVHazOsGgHGVlcKvQDA==
APISIX插件开发Kong网关HMAC鉴权插件(附客户端SDK)
AlbenXie的博客
05-06 1409
一、需求背景 博客前文有提到,在决定全面铺开使用APISIX之前,Kong 网关在我们的生产环境已经试用了将近一年,因此存在大量的生产环境 API 接口使用的是 Kong HMAC 鉴权。此次迁移到 APISIX 网关,为了减少客户端的改造工作,我们决定将 Kong 网关的 HMAC 鉴权插件移植到 APISIX,同时将 KongHMAC 认证作为后续 API 接口的统一鉴权方案。 插个题外话:在讨论 API 统一鉴权方案时,我们也在 APISIX 自带的 HMAC 鉴权和 Kong 网关的 ..
Kong的插件: hmac
风一样的少年
08-28 2501
hmac简述 hmac是Hashing for Message Authentication的简写,可以用来保证数据的完整,客户端把内容通过散列/哈希算法算出一个摘要,并把算法和内容以及摘要传送给服务端,服务端按照这个算法也算一遍,和摘要比一下如果一样就认为内容是完整的,如果不一样就认为内容被篡改了。 关于Konghmac说几点 Clock Skew 使用Konghmac后,请求必须带有Da...
kong hmac 应用实践
gou12341234的专栏
06-24 638
创建route 和 service service 创建 curl -i -X POST --url http://127.0.0.1:8001/services/ --data 'name=lxy-service' --data 'url=http://127.0.0.1:8090/project/' 注:请根据实际情况填写自己服务地址url route 创建 curl -i -X POST --url http://127.0.0.1:8001/services/lxy-service/routes
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4285
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
simple-hmac-auth:旨在简化使用HMAC签名的构建API的协议规范和节点库
05-05
HTTP身份验证规范和Node库旨在简化使用HMAC签名的构建API。 规格 对于所有传入请求,应使用秘密对HTTP方法,路径,查询字符串,标头和正文进行签名,并将其作为请求的“签名”发送。 标头应包含用户的API密钥以及...
java8看不到源码-hmac-auth:RESTfulWeb应用程序的HMAC身份验证
06-04
java8 看不到源码hmac-auth RESTful Web 应用程序的 HMAC 身份验证 2.3.6 版 在签名计算之前添加 urldecode 以修复 url 中非 ascii 字符的问题 2.3.5 版 使用显式 utf-8 编码进行签名计算 2.3.4 版 为 Java 11+ 兼容性添加 jaxb 依赖项 2.3.3 版 添加补丁功能 2.3.2 版 向 hmac auth 代理应用程序添加了安全的 HTTPs 目标选项 版本:2.3.1 修复了使用版本 2.3.0 #23 验证 hmac 请求时的错误 DateTimeParseException 如果没有提供 secretKey,则抛出显式异常 #25 2.3.0 版 移除对 joda-time 库的依赖,改用 java.time 包。 使用这个库需要 Java8。 2.2.0 版 添加基于属性的用户存储库 (PropertyUserRepository)。 您可以注入具有以下结构的 json 文件: [ { "user": "user1", "password": "password1", "roles": [ "
angular-hmac-auth
06-23
Angular HMAC Auth 拦截器模块这是一个用于的 Angular HTTP 拦截器。 拦截器将在客户端签署您的请求,以便服务器可以对它们进行身份验证。 它旨在与集成并顺利,但它可能会适应您的需求,如果不是,请随时贡献并帮助...
Python hmac模块使用实例解析
09-18
以下是一些使用`hmac`模块的实例: 1. **HMAC-MD5消息签名** 在这个例子中,`hmac`模块默认使用MD5散列函数。首先,我们创建一个`hmac`对象,使用`secret-shared-key`作为密钥。然后,我们打开一个名为`content....
io.winking.PawExtensions.KongHmacDynamicValue:Kong HMAC Extension for Paw.app
05-09
一个Paw扩展,用于计算Kong HMAC身份验证签名,以访问Kong RESTful API。 样本 填写香港地区的HMAC用户名和密码集 选择API设置的HMAC算法 输入用于生成签名的HTTP标头(默认为host date request-line ) 请注意,...
java API接口签名授权安全认证问题
xulong5000的专栏
08-31 1744
1:使用开源的jar包 API-Signed: 一个轻松实现API签名校验的库。 (gitee.com) 本地下载源码:E:\JavaCode\java-API签名校验 2:该jar 包操作说明 本仓库包含以下内容: 签名校验的源码 基于Spring boot的web示例 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。 该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。 同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。
HMAC API 接口签名 Message安全验证
心猿意码
05-21 1413
什么是HMACHMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 为什么需要API接口签名? 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能...
基于Python实现kong的AKSK加密
test_bied的博客
07-21 234
将base64字节转化字符串,并去掉b 和 单引号。# 加密前 将要加密的header参数 拼接成字符串。# 将加密后的字符串转化为base64 字节。# 组装 Authorization。# 使用 hmac 加密。
kong笔记——kong的权限认证插件选择参考
罗伯特是疯子丶
02-25 2664
kong可提供的权限认证场景 Basic auth 基本介绍 基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和密码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上密码,并将得出的结果字符串再用Base64算法编码。 eg: 提供的用户名是:admin 口令是:123456 拼接后的结果是:admin:123456,然后再将其用Base64编码的字符串为:YWRtaW46MTIzNDU2 最终将Base64编码的字符
c语言使用hmac-sha256
09-08
C语言可以使用HMAC-SHA256算法对数据进行身份验证和完整性校验。HMAC是一种对称密钥算法,SHA256是一种哈希算法。 首先,我们需要引入相关的头文件。在C语言中,可以使用``<openssl/hmac.h>``头文件来包含HMAC相关的函数和结构体。 接下来,我们需要定义一个密钥,该密钥用于计算HMAC值。我们可以将密钥存储在一个字符数组中,例如``unsigned char key[] = "密钥";``。请注意,密钥的长度通常应为64字节,并采用随机值或者使用密码学安全伪随机数生成器生成。 然后,我们需要定义要计算HMAC-SHA256的数据。可以将待计算的数据存储在一个字符数组中,例如``unsigned char data[] = "待计算的数据";``。 接下来,我们需要使用``HMAC()``函数来计算HMAC-SHA256值。``HMAC()``函数接受五个参数:哈希算法类型、密钥、密钥长度、数据以及数据长度。我们可以使用``EVP_sha256()``选择SHA256算法。 然后,我们需要定义一个字符数组来存储计算得到的HMAC值。可以使用``unsigned char result[EVP_MAX_MD_SIZE]``来存储HMAC值,并指定最大大小。 最后,我们可以使用``HMAC()``函数来计算HMAC值。这个函数会将最终结果存储在``result``数组中,并返回结果的长度。我们可以将HMAC结果存储在字符数组中,例如``unsigned char hmacResult[SHA256_DIGEST_LENGTH]``。 整个过程如下所示: ```c #include <openssl/hmac.h> int main() { unsigned char key[] = "密钥"; unsigned char data[] = "待计算的数据"; unsigned char hmacResult[SHA256_DIGEST_LENGTH]; unsigned int hmacLength; HMAC(EVP_sha256(), key, strlen(key), data, strlen(data), hmacResult, &hmacLength); // 打印计算得到的HMAC结果 for (int i = 0; i < hmacLength; i++) { printf("%02x", hmacResult[i]); } return 0; } ``` 通过以上步骤,我们可以使用C语言计算出数据的HMAC-SHA256值。这种方法可以用于身份验证、完整性校验等安全领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值