前言

后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:

1. 请求的来源是否合法

2. 请求参数是否被篡改

3. 请求的唯一性

我们的签名加密也是主要针对这几个问题来实现

设计

基于上述的几个问题,我们来通过已下步骤来实现签名加密:

1. 通过分配给APP对应的app_key和app_secret来验证身份

2. 通过将请求的所有参数按照字母先后顺序排序后拼接再MD5加密老保证请求参数不被篡改

3. 请求里携带时间戳参数老保证请求的唯一和过期,重复的请求在指定时间(可配置)内有效

实现

  1. 签名生成:

    1. 生成当前时间戳timestamp=now
    2. 按照请求参数名的字母升序排列非空请求参数(包含accessKey)

      stringA="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random";
    3. 拼接密钥accessSecret

      stringSignTemp="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random&accessSecret=secret";
    4. MD5并转换为大写生成签名

      sign=MD5(stringSignTemp).toUpperCase();

JAVA代码如下:params是从request里面获取的所有参数map,accessSecret是加密密钥

 private String createSign(Map<String, Object> params, String accessSecret) throws UnsupportedEncodingException {

        Set<String> keysSet = params.keySet();

        Object[] keys = keysSet.toArray();

        Arrays.sort(keys);

        StringBuilder temp = new StringBuilder();

        boolean first = true;

        for (Object key : keys) {

            if (first) {

                first = false;

            } else {

                temp.append("&");

            }

            temp.append(key).append("=");

            Object value = params.get(key);

            String valueString = "";

            if (null != value) {

                valueString = String.valueOf(value);

            }

            temp.append(valueString);

        }

        temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);

        return MD5Util.MD52(temp.toString()).toUpperCase();

    }
  1. 签名校验:

拦截器部分代码

  • 参数格式校验
  • 超时校验
  • 验证签名
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        Map<String, Object> result = new HashMap<String, Object>();

        String timestamp = request.getParameter(TIMESTAMP_KEY);

        String accessKey = request.getParameter(ACCESS_KEY);

        String accessSecret = map.get(accessKey);

        if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {

            result.put("code", 1000);

            result.put("msg", "请求时间戳不合法");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        // 检查KEY是否合理

        if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {

            result.put("code", 1001);

            result.put("msg", "加密KEY不合法");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        Long ts = Long.valueOf(timestamp);

        // 禁止超时签名

        if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {

            result.put("code", 1002);

            result.put("msg", "请求超时");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        if (!verificationSign(request, accessKey, accessSecret)) {

            result.put("code", 1003);

            result.put("msg", "签名错误");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        return true;

    }

校验签名

 private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {

        Enumeration<?> pNames = request.getParameterNames();

        Map<String, Object> params = new HashMap<String, Object>();

        while (pNames.hasMoreElements()) {

            String pName = (String) pNames.nextElement();

            if (SIGN_KEY.equals(pName)) continue;

            Object pValue = request.getParameter(pName);

            params.put(pName, pValue);

        }

        String originSign = request.getParameter(SIGN_KEY);

        String sign = createSign(params, accessSecret);

        return sign.equals(originSign);

    }
  1. 完整代码:

这里通过拦截器来实现接口拦截,可自行替换

package com.mlcs.mop.common.web.interceptor;

import com.mlcs.core.conf.ZKClient;

import com.mlcs.mop.common.web.util.MD5Util;

import com.mlcs.mop.common.web.util.WebUtils;

import org.apache.zookeeper.KeeperException;

import org.springframework.util.StringUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.StringReader;

import java.io.UnsupportedEncodingException;

import java.util.*;

import java.util.concurrent.ConcurrentHashMap;

/**

 * Author: Kelin

 * Date:  2018/5/16

 * Description:

 */

@SuppressWarnings("SuspiciousMethodCalls")

public class SimpleApiSignInterceptor extends HandlerInterceptorAdapter {

    // 签名超时时长,默认时间为5分钟,ms

    private static final int SIGN_EXPIRED_TIME = 5 * 60 * 1000;

    private static final String API_SIGN_KEY_CONFIG_PATH = "/mop/common/system/api_sign_key_mapping.properties";

    private static final String SIGN_KEY = "sign";

    private static final String TIMESTAMP_KEY = "timestamp";

    private static final String ACCESS_KEY = "accessKey";

    private static final String ACCESS_SECRET = "accessSecret";

    private static Map<String, String> map = new ConcurrentHashMap<String, String>();

    static {

        // 从zk加载key映射到内存里面

        try {

            String data = ZKClient.get().getStringData(API_SIGN_KEY_CONFIG_PATH);

            Properties properties = new Properties();

            properties.load(new StringReader(data));

            for (Object key : properties.keySet()) {

                map.put(String.valueOf(key), properties.getProperty(String.valueOf(key)));

            }

        } catch (KeeperException e) {

            e.printStackTrace();

        } catch (InterruptedException e) {

            e.printStackTrace();

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        Map<String, Object> result = new HashMap<String, Object>();

        String timestamp = request.getParameter(TIMESTAMP_KEY);

        String accessKey = request.getParameter(ACCESS_KEY);

        String accessSecret = map.get(accessKey);

        if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {

            result.put("code", 1000);

            result.put("msg", "请求时间戳不合法");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        // 检查KEY是否合理

        if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {

            result.put("code", 1001);

            result.put("msg", "加密KEY不合法");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        Long ts = Long.valueOf(timestamp);

        // 禁止超时签名

        if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {

            result.put("code", 1002);

            result.put("msg", "请求超时");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        if (!verificationSign(request, accessKey, accessSecret)) {

            result.put("code", 1003);

            result.put("msg", "签名错误");

            WebUtils.writeJsonByObj(result, response, request);

            return false;

        }

        return true;

    }

    private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {

        Enumeration<?> pNames = request.getParameterNames();

        Map<String, Object> params = new HashMap<String, Object>();

        while (pNames.hasMoreElements()) {

            String pName = (String) pNames.nextElement();

            if (SIGN_KEY.equals(pName)) continue;

            Object pValue = request.getParameter(pName);

            params.put(pName, pValue);

        }

        String originSign = request.getParameter(SIGN_KEY);

        String sign = createSign(params, accessSecret);

        return sign.equals(originSign);

    }

    private String createSign(Map<String, Object> params, String accessSecret) throws UnsupportedEncodingException {

        Set<String> keysSet = params.keySet();

        Object[] keys = keysSet.toArray();

        Arrays.sort(keys);

        StringBuilder temp = new StringBuilder();

        boolean first = true;

        for (Object key : keys) {

            if (first) {

                first = false;

            } else {

                temp.append("&");

            }

            temp.append(key).append("=");

            Object value = params.get(key);

            String valueString = "";

            if (null != value) {

                valueString = String.valueOf(value);

            }

            temp.append(valueString);

        }

        temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);

        return MD5Util.MD52(temp.toString()).toUpperCase();

    }

}

简单API接口签名验证的更多相关文章

  1. 转载-常用API接口签名验证参考

    原文地址: http://www.cnblogs.com/hnsongbiao/p/5478645.html 写的很好,就做个笔记了.感谢作者! 项目中常用的API接口签名验证方法: 1. 给app分 ...

  2. 常用API接口签名验证参考

    项目中常用的API接口签名验证方法: 1. 给app分配对应的key.secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下: a. 按照请求参数名称将所有请求参数按照 ...

  3. 开放api接口签名验证

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  4. api接口签名验证(MD5)

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  5. 【转】开放api接口签名验证

    不要急,源代码分享在最底部,先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候, ...

  6. springcloud提供开放api接口签名验证

    一.MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key.secret 2.Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下: a. 按照请求参数 ...

  7. API接口签名验证2

    http://www.jianshu.com/p/d47da77b6419 系统从外部获取数据时,通常采用API接口调用的方式来实现.请求方和�接口提供方之间的通信过程,有这几个问题需要考虑: 1.请 ...

  8. PHP 开发API接口签名验证

    就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床.所谓man-in-the-midd ...

  9. api接口签名验证

    由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsessionid)来辨别客户端的身份的,当客户端进行登录服务器也会将登录信息存放在服 ...

随机推荐

  1. react 使用axios

    1.配置axios代理  使得axios  可以不写根路径 package.json "proxy":"http://localhost:4000", 2.使用 ...

  2. jstat详解

    jstat 1. jstat -gc pid 可以显示gc的信息,查看gc的次数,及时间. 其中最后五项,分别是young gc的次数,young gc的时间,full gc的次数,full gc的时 ...

  3. JavaSE---IO体系

    1.BIO 1.1 Block IO,同步阻塞IO: 1.2 eg:java.io   包下的      InputStream . OutputStream.  Writer.Reader... j ...

  4. Socket网络通信——IO、NIO、AIO介绍以及区别

    一 基本概念 Socket又称"套接字",应用程序通常通过"套接字"向网路发出请求或者应答网络请求. Socket和ServerSocket类位于java.ne ...

  5. 12.24 ES6浅谈--块级作用域,let

    第一部分:ES6新增了块级作用域,let关键字用于声明变量,相较于var而言,let关键字不存在声明提前. 1.ES6真正的出现了块级作用域,使用双花括号括住并在其中用let声明变量,会存在暂时性死区 ...

  6. mysql 获取任意一个月的所有天数。

    SELECT ADDDATE(y.first, x.d - 1) as dFROM(SELECT 1 AS d UNION ALLSELECT 2 UNION ALLSELECT 3 UNION AL ...

  7. MariaDB 更新查询

    UPDATE 命令通过更改值来修改现有字段. 它使用SET子句指定要修改的列,并指定分配的新值. 这些值可以是字段的表达式或默认值. 设置默认值需要使用DEFAULT关键字. 该命令还可以使用WHER ...

  8. Hibernate 单项多对1

    自己理解: 单向1对多. 一个客户可以发出多个订单.但是一个订单只属于一个客户. 写对象的时候.在多的那个类对象把1的作为自己的一个属性. 写配置文件 <many-to-one name=1的属 ...

  9. 【Flutter学习】页面布局之基础布局组件

    一,概述 Flutter中拥有30多种预定义的布局widget,常用的有Container.Padding.Center.Flex.Row.Colum.ListView.GridView.按照< ...

  10. Docker Machine 管理-安装docker-machine(15)

    前面我们的实验环境中只有一个 docker host,所有的容器都是运行在这一个 host 上的.但在真正的环境中会有多个 host,容器在这些 host 中启动.运行.停止和销毁,相关容器会通过网络 ...