API接口签名方式

最新推荐文章于 2024-07-20 23:55:03 发布
最新推荐文章于 2024-07-20 23:55:03 发布
阅读量734 收藏 20
点赞数 12
文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzprongyi/article/details/138911501
版权

API接口签名方式

背景

为了确保接口的安全性和数据的完整性,以及验证请求的来源和身份。以下是签名在API接口中的一些关键作用:

  1. 身份验证:签名可以帮助API服务验证请求的来源是否可信。当客户端发送请求时,它会在请求中包含一个签名,这个签名通常基于请求的参数、时间戳和一个只有客户端和服务端知道的密钥。服务端可以验证这个签名是否有效,从而确认请求是否来自一个已授权的客户端。
  2. 防止重放攻击:在签名中包含一个时间戳或nonce(一次性随机数)可以防止攻击者重放(即重复使用)旧的请求。服务端可以检查时间戳或nonce是否已被使用过,从而防止重放攻击。
  3. 防止篡改:签名可以确保请求在传输过程中没有被篡改。如果请求的参数被恶意修改,那么签名也会相应地改变,服务端在验证签名时就能发现这一点。
  4. 提高安全性:使用密钥进行签名可以确保只有知道密钥的客户端才能发送有效的请求。这增加了API的安全性,因为即使攻击者截获了请求,他们也无法伪造有效的签名(除非他们也知道密钥)。
  5. 支持权限控制:通过不同的签名密钥或签名方法,服务端可以实现更细粒度的权限控制。例如,不同的客户端或用户可能使用不同的密钥进行签名,服务端可以根据签名所使用的密钥来判断请求者的权限。
  6. 简化日志和审计:由于签名包含了请求的来源和参数等信息,因此它可以作为日志和审计的重要依据。当出现问题时,服务端可以通过分析签名来快速定位问题的来源和原因。
    在实际应用中,常见的签名方法包括HMAC(基于密钥的哈希消息认证码)、OAuth等。这些方法都使用了一个密钥来生成签名,并且都有相应的验证算法来确保签名的有效性和安全性
    其实有很多种签名或加密方式对API接口进行安全认证,只需要使用双方制定一套规则。
    在这介绍2种简单的方式:

数字签名

规则: 对字段进行字典排序,按规则拼接(规则自定义 常见的有key=value&key2=value2&…&)

示例代码:

/**
     * 参数签名
     * 有值参数字典排序
     * key1=value1&key2=value2&...&key=randomStr
     * @param object     参数
     * @param randomStr 随机字符,可自定义规则
     * @return
     */
    public String getSign(Object object, String randomStr) {
        if (object == null) {
            return "";
        }

        Map map = JSONObject.parseObject(JSON.toJSONString(object), Map.class);
        StringBuilder stringBuffer = new StringBuilder();
        SortedMap<String, Object> sortedMap = new TreeMap<>(map);
        Set<Map.Entry<String, Object>> set = sortedMap.entrySet();
        set.forEach(entry -> {
            stringBuffer.append(entry.getKey() + "=" + entry.getValue() + "&");
        });

        stringBuffer.append("key=").append(randomStr);
        String str = stringBuffer.toString();
        // 这个结果得到的是个拼接后的字符串明文,可以对该字符串进行加密传输,加密方式可自行选择
        // 可以用MD5, 对称加密等
        return str;
    }

利用JWT

JWT简介

JWT(JSON Web Token)是一种开放标准(RFC 7519)定义的方式,用于在网络通信中安全地表示声明(claims)。JWT通常用于在客户端和服务端之间安全地传输信息,特别是在无状态的RESTful API中。JWT的结构包括三个部分:头部(Header)、载荷(Payload)和签名(Signature)。

头部(Header):描述了JWT的元数据,包括使用的签名算法(如HMAC SHA256或RSA)和JWT的类型(通常是JWT)。这些元数据被Base64Url编码后形成JWT的第一部分。
载荷(Payload):包含了需要传输的用户信息,例如用户名、用户ID、角色等。这些信息也是经过Base64Url编码的。另外,JWT还定义了一些标准字段,如exp(过期时间戳)、iss(发行者)等,也可以根据需要添加到载荷中。
签名(Signature):签名部分是对头部和载荷的签名,用于验证JWT的完整性和发送者的身份。签名是使用服务器私钥和指定的签名算法(如HMAC SHA256或RSA)进行的。签名完成后,也会进行Base64Url编码,形成JWT的第三部分。

示例代码:

public class JwtTokenUtils {

    private static final String TOKEN_TYPE = "TokenType";

    private static final String TOKEN = "Token";

    private static final String REFRESH_TOKEN = "RefreshToken";

    private static final String USER_NAME = "UserName";

    private static final String DEFAULT = "default";

    /**
     * 密钥
     */
    private static final String SECRET = "SHIRO+JWT+XXX";

    private static final Algorithm HMAC_256 = Algorithm.HMAC256(SECRET);

    /**
     * 创建token
     * @param userName
     * @param timeoutSec
     * @return
     */
    public static String createToken(String userName, long timeoutSec, String jti) {
        return createToken(userName, TOKEN, timeoutSec, jti);
    }

    /**
     * 创建refreshToken
     * @param userName
     * @param timeoutSec
     * @return
     */
    public static String createRefreshToken(String userName, long timeoutSec, String jti) {
        return createToken(userName, REFRESH_TOKEN, timeoutSec, jti);
    }

    /**
     * 创建refreshToken
     * @param userName
     * @param timeoutSec
     * @return
     */
    public static String createToken(String userName, String tokenTypeValue, long timeoutSec, String jti) {
        Date expires = new Date(System.currentTimeMillis() + timeoutSec * 1000);
        return JWT.create()
                .withClaim(USER_NAME, userName)
                .withClaim(TOKEN_TYPE, tokenTypeValue)
                .withClaim("jti", jti)
                .withExpiresAt(expires)
                .sign(HMAC_256);

    }

    /**
     * 校验 token 是否正确
     *
     * @param token 密钥
     * @return 是否正确
     */
    public static boolean verify(String token) {
        if(token == null || token.trim().isEmpty()){
            return false;
        }
        try {
            //在token中附带了username信息
            JWTVerifier verifier = JWT.require(HMAC_256)
                    .build();
            //验证 token
            verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /**
     * token是否过期
     * @param token
     * @return
     */
    public static boolean isTokenExpired(String token) {
        Optional<Date> optional = getExpiresAt(token);
        if (optional.isPresent()) {
            return optional.get().before(new Date());
        }

        return true;
    }

    /**
     * 获取参数token所载的过期时间
     *
     * @param token
     * @return
     */
    public static Optional<Date> getExpiresAt(String token) {
        if (token == null || token.trim().isEmpty()) {
            return Optional.empty();
        }

        try {
            DecodedJWT jwt = JWT.decode(token);
            return Optional.of(jwt.getExpiresAt());
        } catch (JWTDecodeException e) {
            return Optional.empty();
        }
    }

    public static String getUserName(String token) {
        if (StringUtils.isBlank(token)) {
            return "";
        }

        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(USER_NAME).asString();
        } catch (JWTDecodeException e) {
            return "";
        }
    }

    /**
     * 刷新token。 如果提供的token合法,则返回一个新的token,重置过期时间
     *
     * @param token
     * @param timeout
     * @return
     */
    public static String refreshToken(String token, long timeout, String jti) {
        if(token == null || token.trim().isEmpty()){
            return "";
        }

        DecodedJWT jwt = JWT.decode(token);
        String userName = jwt.getClaim(USER_NAME).asString();
        return createToken(userName, timeout, jti);
    }

}

以上仅为日常记录,欢迎路过的大佬,大神来指导。

菜鸟泽
关注
  • 12
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue获取request payload请求参数怎么获取_我又踩坑了!如何为HttpClient请求设置ContentType标头?...
weixin_39667652的博客
02-04 2448
最近在重构认证代码,认证过程相当常规:POST/open-api/v1/user-info?client_id&timstamp&rd=12345&sign=***&method=hmaccontent-type:application/jsonpayload:{"token":"AA2917B0-C23D-40AB-A43A-4C4B61CC...
java api接口签名验证失败_简单API接口签名验证
weixin_42371226的博客
02-23 4287
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
如何利用JWT来实现对API的授权访问
qq_44601070的博客
11-27 317
如何利用JWT来实现对API的授权访问
API Testing 13 - 什么是API Payload
wumingxiaoyao的博客
06-14 1117
拿一个现实场景举例,就餐。一家餐馆会提供不同派系的菜肴。可能是印度菜,中餐,意大利餐等等。每个到店就餐不同喜好的人都会得到相应的服务,大概流程是这样的: 到达餐馆 联系报务员 点单 上菜就餐 服务员为某一桌特定的客户服务,如果你想吃印度菜,你必须告诉服务员指令(你点的菜单),如果你不告诉服务员,服务员是不能决定你要吃啥。同样,一个API也是根据指令或是Payload工作的。食物是资源,服务员是一个API,指令就是Payload。所以你得到的服务取决于你提供的指令。 当你登录微信,我们需要提供各自的凭证
对payload以及函数传参的进一步理解
RKAnjia的博客
03-23 2801
pwnpayload32位程序传参64位程序传参 payload 模板: payload=“a“*0x88 p.sendline(payload) 在模板里是先编造好payload,再在程序需要输入时用sendline()将payload向程序输入,程序接收payload对某些变量赋值。 例如: read(0,&buf,0x200ull); 在与靶机交互时,靶机执行到read函数时,会需要我们输入,这时我们输入payload,程序会对buf字符串赋值为88个a。 32位程序传参 64位程序传参
API 接口签名
qq_43649799的博客
03-22 2455
API 接口签名
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
基于Token实现开放API接口签名验证
Charge8的博客
12-13 9925
基于Token实现开放API接口签名验证
Java API接口签名认证
wFitting的博客
11-13 4969
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证的方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
PHP开发API接口签名生成及验证操作示例
10-15
首先,API接口签名的主要目的是为了保证请求的完整性和不可伪造性。签名应具备以下特性: 1. 可变性:每次请求签名应不同,以防止重复利用。 2. 时效性:签名应有有效期,过期后无效,增加安全性。 3. 唯一性:每...
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的第三方滥用。在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人攻击等。签名验证...
springboot实现接口签名
06-06
首先,接口签名的基本原理是通过一种约定好的方式,如哈希算法,将请求的特定信息(如URL、参数、时间戳等)和一个私有密钥结合,生成一个唯一的签名字符串。接收方接收到请求后,同样使用同样的算法和密钥对请求...
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
Java内存模型
weixin_44267758的博客
07-19 552
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
最新发布
山重水复疑无路,柳暗花明又一村。
07-20 471
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 742
JVM-垃圾回收与内存分配
java算法day19
TOMOT77的博客
07-20 120
我第一时间想到的方法是遍历二叉树+哈希。哈希用来统计数字出现的次数。之后遍历map收集结果。利用了BST的性质,即BST的中序序列是有序序列。
PHP实现API接口签名验证
06-11
API接口签名验证可以确保请求的来源是可信的,并且请求参数没有被篡改。以下是一个PHP实现API接口签名验证的示例: 1. 客户端发送请求时,将参数按照参数名进行字典排序,并将参数名和参数值用等号连接起来,每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值