服务接口签名规范

于 2025-02-26 00:28:12 发布
阅读量1.8k 收藏 36
点赞数 52
文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_77744998/article/details/145866037
版权

为了降低服务之间接口集成的成本,避免由于接口签名验证方式不同导致的系统互通障碍,因此约定了服务接口签名规范。此接口规范适用于服务与服务之间的接口调用使用。

HTTP接口签名规范

适用于1.0、1.1、2.0版本的HTTP协议。

签名请求参数

发起一次HTTP请求时,需要随请求提供以下请求参数:

名称类型说明备注
accessKeyIdstring标识请求发起方身份的AccessKeyId必须提供,不超过128字节
noncestring请求随机值,用于混淆待签字符串或者标识请求的唯一性必须提供,不少于8字节,不超过128字节
timestampint64请求发起的Unix时间戳,单位为秒

必须提供,服务端需要检查此时间戳和本地时间的差(防止请求一直生效),不超过±120s
 

expiresint64请求过期间隔时间,单位为秒

可选,服务端需要检查 timestamp 参数和本地时间的差是否大于 expires(timestamp的±120s校验无效),适用于预授权、预签名等场景

signedHeadersstring参与签名的HTTP头名称,多个以“,”分隔可选,不超过255字节
principalstring代理的身份,用于代理他人身份访问可选
signaturestring请求签名必须提供,签名计算方法见下节

在HTTP请求中可以通过以下任一方式携带这些请求参数,推荐使用Authorization头携带请求参数,优先使用Authorization头作为请求参数。

通过HTTP Header携带请求参数

使用Authorization头在HTTP Header中携带请求参数。Authorization头是由一个字符串组成的,请求参数需要按以下规则进行构造:

字符串由以下部分组成:

  • 签名类型和签名参数之间使用一个空格分隔
  • 签名参数使用key=value的方式进行连接,多个参数之间使用“; ”分隔(注意:分号后有空格)

通过HTTP QueryString携带请求参数

使用QueryString携带请求参数,请求参数和QueryString参数的对应规则如下:

请求参数名称QueryString参数名称备注
-X-Auth-Algorithm签名类型,例如“LJ-HMAC-SHA256”
accessKeyIdX-Auth-AccessKeyId
nonceX-Auth-Nonce
timestampX-Auth-Timestamp
expiresX-Auth-Expires
signedHeadersX-Auth-SignedHeaders
principalX-Auth-Principal
signatureX-Auth-Signature

一个使用QueryString携带请求参数的请求行示例如下:

GET /hello?X-Auth-Algorithm=LJ-HMAC-SHA256&X-Auth-AccessKeyId=your-ak&X-Auth-Nonce=some-nonce&X-Auth-Timestamp=1519800000&X-Auth-SignedHeaders=X-Request-Id%2CX-Info&X-Auth-Signature=some-signature HTTP/1.1

待签字符串

生成请求签名时,需要将请求参数构造成待签字符串。待签字符串由以下几部分组成:

  • 签名请求参数:accessKeyId、nonce、timestamp、signedHeaders、principal
  • HTTP Method
  • HTTP Path
  • HTTP Query请求参数(需要排除掉X-Auth-Signature参数)
  • HTTP Headers
    • Host头
    • Content-MD5头(参考RFC2616.14.15)若存在需参与签名,用于签名请求体,防止被篡改
    • 在signedHeaders参数中指定的HTTP头

待签字符串的各组成部分的生成规则各有要求,具体如下表所列:

组成部分生成规则示例
签名请求参数以参数名为key,参数值为value
HTTP Method以method为key,大写的HTTP Method为valuemethod=GET
HTTP Path以path为key,不包括查询字符串部分的Path为valuepath=/hello
HTTP Query以query为key,将查询字符串按“&”切分为数组,排除这个字符串数组中以X-Auth-Signature为参数名的项为空的项,按字母正序排序后重新以“&”连接的值为value,无需进行URL解码query=a=b&foo=bar
HTTP Headers

以Header头的小写名称为key(下划线必须替换为中横线),Header值为value

“Host”必须参与签名,理由如下:
1. 避免同一服务多个域名间请求可重放(比如:内网域名生成的签名请求可在外网域名下使用)
2. Http协议规定必须携带Host头信息,符合HTTP协议标准

将各个部分的key-value对以“=”连接,并将所有的key-value对存入一个字符串数组,再把数组以字符序正序排序,最后“&”连接每个key-value对的排序字符串,得到的结果即为待签字符串。生成待签字符串时,若相应部分的参数不存在或者值为空时,此key-value对不出现在待签字符串数组中。

对于下面的请求

GET /hello?foo=bar HTTP/1.0
Host: localhost
X-Request-Id: some-request-id
Authorization: LJ-HMAC-SHA256 accessKeyId=your-ak; nonce=some-nonce; timestamp=1519800000; signedHeaders=X-Request-Id; signature=some-signature

拼装的待签字符串数组为:

[
	"accessKeyId=your-ak",
	"nonce=some-nonce",
	"timestamp=1519800000",
	"signedHeaders=X-Request-Id",
	"method=GET",
	"path=/hello",
	"query=foo=bar",
	"host=localhost",
	"x-request-id=some-request-id"
]

对其按字符正序排序后的结果为:

[ 
	"accessKeyId=your-ak",
	"host=localhost",
	"method=GET",
	"nonce=some-nonce",
	"path=/hello",
	"query=foo=bar",
	"signedHeaders=X-Request-Id",
	"timestamp=1519800000",
	"x-request-id=some-request-id"
]

生成的待签字符串为:

accessKeyId=your-ak&host=localhost&method=GET&nonce=some-nonce&path=/hello&query=foo=bar&signedHeaders=X-Request-Id&timestamp=1519800000&x-request-id=some-request-id

签名算法

签名算法是一种hash函数,将待签字符串和accessKeySecret一起通过hash函数进行计算,结果以Base64编码字符串来表示。必须实现的签名算法是HMAC-SHA256。

以下是几种常见语言的HMAC-SHA256参考实现:

Node版本的签名计算示例:

const crypto = require('crypto');

function sign(stringToSign, accessKeySecret) {
    const hmac = crypto.createHmac('sha256', accessKeySecret);
    hmac.update(stringToSign);

    return hmac.digest('base64');
}

PHP版本的签名计算示例:

function sign($string, $secret)
{
    if (!function_exists('hash_hmac')) {
        throw new \BadMethodCallException('This PHP environment does not support hash library.');
    }

    $hash = hash_hmac('sha256', $string, $secret, true);

    if ($hash === false) {
        throw new \BadMethodCallException('This PHP environment does not support hmac-sha256.');
    }

    return base64_encode($hash);
}

Java版本的签名计算示例,依赖commons-codec、commons-lang:

import org.apache.commons.codec.binary.Base64;
import org.apache.commons.codec.digest.HmacAlgorithms;
import org.apache.commons.codec.digest.HmacUtils;
import org.apache.commons.lang.StringUtils;
 
public static String sign(String stringToSign, String accessKeySecret) {
    byte[] hmac = new HmacUtils(HmacAlgorithms.HMAC_SHA_256, accessKeySecret).hmac(stringToSign);

    return Base64.encodeBase64String(hmac);
}

签名验证结果

服务器端收到请求后应当验证签名的正确性。若当前请求不包含任何可用的身份签名,服务器端应当应答HTTP 401 Unauthorized;若签名不正确,服务器端应当应答HTTP 403 Forbidden。签名验证不通过时,需要在应答Header中通过X-Auth-Result-Code、X-Auth-Result-Message来携带详细的错误信息。应答体中也可携详情信息,但不做具体要求,可根据HTTP的内容协商确定应答体的格式类型。

签名验证不通过时参考的错误码如下:

错误码错误说明
INVALID_PARAMETERS参数不存在或者提供了错误的值
INVALID_PRINCIPAL请求身份不正确
INVALID_SIGNATURE签名不正确
EXPIRED请求时间戳已过期
FORBIDDEN没有访问此资源的权限

SDK

调试

使用Postman发送签名请求

在Postman中,可以使用Pre-request Script来对发送的请求进行加签名,使用下面的脚本,并将签名密钥替换为你自己的密钥:

set environment variable

const accessKeyId = '<your-access-key-id>';
const accessKeySecret = '<your-access-key-secret>';


const nonce = this.request.id;
const timestamp = parseInt(new Date().getTime() / 1000);

const stringToSignArray = [
    `accessKeyId=${accessKeyId}`,
    `nonce=${nonce}`,
    `timestamp=${timestamp}`,
    `method=${this.request.method}`,
    `path=/${pm.request.url.path.join('/')}`
];

if (pm.request.headers.has('Host')) {
    stringToSignArray.push(`host=${pm.request.headers.get("Host")}`);
} else if (pm.environment.has('HOST')) {
    stringToSignArray.push(`host=${pm.environment.get("HOST")}`);
} else {
    stringToSignArray.push(`host=${pm.request.url.host}`);
}

const query = `${pm.request.url.query}`;
var queryArray = query.split("&")
var newQueryArray = []

for (var i=0,len=queryArray.length; i<len; i++)
{ 
    if(queryArray[i]){
        newQueryArray.push(encodeURI(queryArray[i]))
    }
}

var newQueryStr = newQueryArray.sort().join("&")
console.log(newQueryStr)

if (newQueryStr) {
    stringToSignArray.push(`query=${newQueryStr}`);
}

const stringToSign = stringToSignArray.sort().join('&');
const signature = CryptoJS.HmacSHA256(stringToSign, accessKeySecret).toString(CryptoJS.enc.Base64);

console.log(stringToSign);

const authorization = 'LJ-HMAC-SHA256 ' + [
    `accessKeyId=${accessKeyId}`,
    `nonce=${nonce}`,
    `timestamp=${timestamp}`,
    `signature=${signature}`
].join('; ');

console.log(authorization);

pm.globals.set("Authorization", authorization);

设置脚本后,还需要在Headers中指定Authorization头的值为{{Authorization}},以引用签名脚本计算出来的签名值。

安全架构-api接口签名防止数据篡改
ctotalk
12-21 9476
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
开放api接口签名验证
weixin_30527143的博客
03-30 2159
在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
Android接口签名规则,签名规则
weixin_42172572的博客
05-31 329
签名规则API 调用签名规则¶本文档中所有请求融云服务端 API 接口的请求均使用此规则校验,以下不再重复说明。每次请求 API 接口时,均需要提供 4 个 HTTP Request Header,具体如下:名称类型说明RC-App-KeyString开发者平台分配的 App Key。RC-NonceString随机数,无长度限制。RC-TimestampString时间戳,从 1970 年 1 ...
Api接口签名规则
weixin_33728708的博客
07-31 1285
2019独角兽企业重金招聘Python工程师标准>>> ...
http接口签名机制
Monten_Cristo的博客
06-26 3012
第三方接口
对外接口签名生成方式
sql2008help的博客
07-31 1019
当某个系统对外部系统提供接口访问时,为提高接口请求安全性,往往会在接口访问时添加签名,当外部系统访问本系统签名验证成功时才能正常返回数据,一般接口提供方会与外部系统提前约定好,不同外部系统用 appKey 加以区分,并且不同 appKey 对应不同秘钥(secretKey)
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
最新发布
02-28
其次是请求的构造,开发者需要按照芋道源码接口规范,将必要的参数以及签名信息正确地嵌入到HTTP请求中;最后是服务器端对签名的验证逻辑,这需要使用公钥对签名进行解密,并与实际请求数据或数据摘要进行比对,以...
GMT 0019-2012 通用密码服务接口规范.pdf
05-18
### GMT 0019-2012 通用密码服务接口规范 #### 1. 概述 《GMT 0019-2012 通用密码服务接口规范》是中国密码行业的标准之一,旨在为密码应用服务的开发、密码应用支撑平台的研制及检测提供一个统一的通用密码服务...
安心签系统对外服务接口规范.doc
08-12
安心签系统对外服务接口规范是一份详尽的文档,用于指导第三方客户平台如何与安心签系统进行集成,以便为用户提供安全、便捷的电子签名服务。该文档由中国金融认证中心编制,经历了多次修订,不断完善和增加了新的...
互联网医疗服务监管平台数据监管接口规范(Ver1.2).docx
09-20
### 互联网医疗服务监管平台数据监管接口规范解析 #### 一、概述 《互联网医疗服务监管平台数据监管接口规范(Ver1.2)》是一份详细介绍了如何实现互联网医疗服务监管平台与其合作伙伴之间的数据交互的技术文档。...
附件+特定客户资产管理业务电子签名合同数据接口规范(试行)
05-07
销售机构签约电子合同的定义及规范,Ta 需要保存电子合同内容,并支持人工审核
对外开放接口签名认证方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
11-17 519
1、场景由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。2、接口防御措施请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改3、签名认证逻辑3.1、服务端生成一对 accessKey/secretKey密钥对,将 accessKey公开给客户端,将 secretKey 保密。3.2、客户端使用 secretKey和一些请求参...
接口签名
GUYyyy的博客
12-07 2308
一、不进行验证的方式 api查询接口: app调用:http://api.test.com/getproducts?参数1=value1… 如上,这种方式简单粗暴,通过调用getproducts方法即可获取产品列表信息了,但是 这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。 那么,如何验证调用者身份呢?如何防止参数被篡改呢? 二、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.S
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1698
接口加密知识科普
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1984
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
吐血整理,接口测试(加密/解密/签名)实例,看这一篇就够了
m0_70102063的博客
03-17 1613
什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。1、加密方式详解1)加对称密技术DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
API接口签名方式
小泽的博客
05-15 1126
API接口认证方式
http请求签名生成算法
瑾修的博客
12-02 1013
http请求签名生成算法、 lua & golang
支付宝交易服务接口规范详解
"该文档是支付宝官方提供的《标准支付宝交易服务接口规范》,主要面向商户系统的技术开发人员,详细阐述了支付宝标准双接口接口规范,包括请求/响应交互模式、主动通知交互模式、安全规范接口定义、应用场景及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值