第三方接口鉴权加密方式

原创 已于 2024-05-25 16:41:18 修改 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2024-05-21 17:17:58 首次发布

接口对接规范

一、概述

本规范旨在定义所有系统的接口对接标准,以确保接口调用的正确性、安全性和可维护性。接口遵循Restful设计风格,采用HTTP请求方法(如GET、POST、PUT、DELETE等)来定义不同的操作类型。

二、接口定义

2.1 接口URL

●接口URL应简洁明了,遵循公司或项目的命名规范。
●使用HTTPS协议,确保数据传输的安全性。
●接口URL路径应反映资源的层次结构,路径规范 /{版本}/api/{业务类型}/{方法名},例如/v1/api/store/getlist。

2.2 请求方法

●GET:用于获取资源;
●POST:用于创建资源;
●PUT:用于更新资源(完全替换);
●DELETE:用于删除资源;
●其他HTTP方法(如PATCH)可根据需要选用,但应明确说明其用途。

2.3 请求头

字段名 是否必填 类型 说明
timestamp 是 int64 时间戳字段,东八区,精确到秒, 时间戳过期时间为60秒钟
appId 是 string 请求方应用标识,需要向DMS申请
nonce 是 string 随机字符串,用于区别是否为重复请求, 同一应用(相同appId)在1小时内此字段不能有相同
sign 是 string 签名,详见4.1 鉴权与授权

2.4 请求体

●对于POST、PUT等需要请求体的方法,应使用JSON格式作为请求体的媒体类型。
●请求体中的字段应明确说明其含义、数据类型和是否必填。
●请求体不区分大小写

2.5 响应体

响应体使用JSON格式。
响应体应包含状态码(如HTTP状态码)、状态信息(描述操作结果的简短文本)和数据体(包含具体数据的JSON对象)。
数据体中的字段应明确说明其含义、数据类型和是否为空。
{
“message”: “成功”,
“code”: 200,
“data”: {}
}

字段名称 是否必填 类型 说明
message 是 string 状态信息描述
code 是 int32 状态码
data 否 JSON对象 根据具体的业务反馈不同的对象

三、错误处理

3.1 状态码

使用标准的HTTP状态码来表示操作结果。
●2xx系列表示成功。
●4xx系列表示客户端错误(如请求参数错误、身份验证失败等)。
●5xx系列表示服务器错误(如内部服务器错误、数据库连接失败等)。
●7xx系统标识业务逻辑错误。
具体错误码
状态码 说明
200 接口响应正确,逻辑处理成功
401 权限错误, 头部缺少正确appId
402 时间戳错误, 头部时间戳字段【timestamp】时间错误,要求误差不能超过30秒,东八区
403 重复请求,头部随机数字段【nonce】重复,同一应用(相同appId)在1小时内此字段不能有相同
405 签名错误,生成的签名字符串不正确,详细签名算法见4.1
500 系统异常,系统出现没有预知到异常
700 业务逻辑错误

3.2 错误信息

在响应体中,应包含详细的错误信息,以便调用方了解错误原因。
错误信息应包含错误码(唯一标识错误类型)、错误描述(详细描述错误原因)和可能的解决方案(如有)。

四、安全性

4.1 鉴权与授权

接口使用签名算法支持鉴权和授权功能,确保只有合法的用户才能访问接口。
签名算法:
1.组织加密前的字符串:通过对头部参数timestamp、appId、nonce的key和value通过等号相连接形成一个新的数组
[timestamp=XXX,appId=XXX,nonce=XXX],然后将此数组进行ASCII升序进行排序,然后通过&符号相连接形成一个新的字符串,最后拼接&secret=xxx,并转换为小写形成最终的字符串:appid=xxx&nonce=xxx&timestamp=xxx&secret=xxx
2.加密:使用MD5加密上诉步骤最终的字符串,生成32位小写密文
代码示例:

Java语言示例
    public static String generateSignature(long timestamp, String appId, String nonce, String secret) {  
              Map<String, String> parameters = new HashMap<>();  
        parameters.put("timestamp", String.valueOf(timestamp));  
        parameters.put("appId", appId);  
        parameters.put("nonce", nonce);  
        // 注意:AppSecret不会作为请求的一部分发送,而是在服务器端用于验证签名  
          // 由于map是无序的,这里主要是对key进行排序(字典序)
        Set<String> keySet = data.keySet();
        String[] keyArr = keySet.toArray(new String[keySet.size()]);
        Arrays.sort(keyArr);
        StringBuilder sbd = new StringBuilder();
        for (String k : keyArr) {
            if (StrUtil.isNotEmpty(data.getStr(k))) {
                sbd.append(k + "=" + data.getStr(k) + "&");
            }
        }
        // secret最后拼接
        sbd.append("secret=").append(secret);
        MD5.create().digestHex(sbd.toString());
        System.out.println(sbd);
        return DigestUtil.md5Hex(sbd.toString());
   
    }

4.2 数据加密

对于敏感数据(如用户密码、支付信息等),应进行加密处理,确保数据传输的安全性。加密算法采用AES 128位,私钥为secret,需要向DMS以及更应用系统申请。

4.3 访问控制

根据业务需求,依托接口平台设置不同的访问控制策略,如IP白名单、接口调用频率限制等。

五、接口文档

●接口文档应详细描述每个接口的URL、请求方法、请求头、请求体、响应体、错误处理和安全性要求。
●接口文档应定期更新,以反映接口的变更和新增功能。
●接口将统一在接口平台注册,并完善接口平台文档,并提供在线或离线查看方式。

六、测试与验证

在接口开发完成后,应进行单元测试、集成测试和性能测试,确保接口的正确性和性能。
在接口上线前,应进行线上验证,确保接口在实际环境中的稳定性和可靠性。

宇航AI
关注
【自用记录】常见的第三方接口加密签名方式(ASCll码字典序、URL键值对、 SHA-256加密、MD5加密)
Dove言和
07-31 511
【代码】【自用记录】常见的第三方接口加密签名方式(ASCll码字典序、URL键值对、 SHA-256加密、MD5加密)
第三方 API 接口安全加密方法和认证
州仔
07-03 855
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
JavaWeb项目对接第三方接口
weixin_44506280的博客
08-06 2712
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。
接口测试必备技能—加密和签名
最新发布
weixin_71807218的博客
09-11 588
本文介绍了加密与解密的基本概念和常见加密方式。加密是将原始数据(明文)转化为密文传输,解密则是还原为原始数据。加密方式分为对称式(如DES、AES、Base64)和非对称式(如RSA)。非对称加密通过公钥加密、私钥解密实现安全传输,同时介绍了数字证书的生成和验证过程。此外,还讲解了MD5哈希算法和接口签名技术,包括签名规则、实现方法及在Postman和Jmeter中的应用。最后提供了软件测试学习资源的获取方式。文章涵盖了从基础概念到实际应用的全方位加密知识。
太顶了!简单几行代码,优雅的实现 SpringBoot 项目
m0_71777195的博客
05-10 1183
Sa-Token是一个轻量级Java限认证框架。主要解决的问题如下:登录认证限认证单点登录OAuth2.0分布式Session会话微服务网关等一系列限相关问题。Sa-Token框架是一个轻量级的登录、框架,有利于我们开发。Sa-Token框架的官方文档:https://sa-token.cc/doc.html#/
记一次三方接口开发的数据加密方案
weixin_30522183的博客
01-29 518
前段时间工作中,开发某银行系统接口接口报文数据安全性要求比较高,安全方案中用到了数字证书加密,解密,签名,验签,国标SM4加密,解密。整个的开发下来,还是踩了不少坑,值得一提的是对方用Java解析报文,我方用C#,对于算法的沟通处理又增加了一些困难,尤其度娘查到的资料实在有限,基本还是通过谷哥补全了自己需要的技术知识和一些源码。不是专业做加密学的或做算法的,没必要陷入技术细节,但是...
第三方接口加密规则
weixin_30724089的博客
07-21 661
@第三方接口加密规则 获得appid和secretKey php版签名算法 function getCarInfor(Request $request) { //构建请求参数体 $poss['appId'] = "你的app id"; $poss['keyword'] = $keywrord;//关键词 $poss['limit'] = $limit;// 条数 $uuid = Uuid::uuid1(); $poss['uuid'] = $u
第三方接口调用的参数加密验签
jll126的博客
07-19 1815
首先,下面的方式只支持post请求,get方式可以自己扩展。每当一个不能接口需要被其它服务调用时,如果这个接口会暴漏在公网上,那么这个不能接口或者无token的接口就需要换一种方式进行限验证。通常使用的方法是参数加密。调用方和被调用方参数使用同一种规则加密,匹配成功,则允许请求,匹配失败,则拒绝请求。这种根据参数加密的方式往往能防止请求被其他方拦截后篡改参数,进行非法请求。这种加密有以下几种作用: 1. 加密时可以附带接口请求时的时间戳,这样可以保证一个接口只能在有效期内被访问。 2. 参
接口测试中的与加密:实战指南
KakaCeshi的博客
09-20 2205
接口测试中, 和 数据加密 是确保系统安全的重要措施。通过 OAuth、JWT 和 Cookies 进行,可以有效防止未经授的访问。同时,使用 HTTPS 加密或自定义加密算法保证数据在传输过程中的安全性。
对接第三方接口
t194978的博客
10-30 1764
实际上,攻防之间没有绝对的安全,我们能做的是尽量提高攻击者的成本。相对方案二,方案三的方法相对已经有很大提升了(同样参数不能无限制调用),但是仔细一想,还是有问题,攻击者截获请求以后,还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是。,发现我们已经实现了的效果,但是每个接口前面都有一大堆的逻辑,这代码太那啥了。是一样的,未授系统截获后还是可以通过重放的方式,伪装成认证系统,调用这个接口
接口加密
一只舰
09-13 2645
Base64不算是加密方式,只是一种编码方式 MD5、AES属于常见的加密算法 一般接口开发中有以下常用的几种安全机制: 用户认证 数字签名 接口加密 2、数字签名 在使用 HTTP/SOAP 协议传输数据的时候,签名作为其中一个参数,可以起到关键作用: 先来一个简单的,通过客户的密钥,服务端的密钥匹配; 这个很有好理解,例如一个接口传参为: http://127.0.0.1:8000/a...
第三方支付身份认证和银行卡接口文档
10-11
第三方支付身份认证和银行卡接口文档
必学必备的几种接口方式
魏小言的博客
03-11 3815
比如,传输的参数是 “abc",传输的时候就变成了 “cde" ,位置偏移了三位。更近一步而言,在银行或涉及钱、个人信息等场景下,即使这样的接口成功通过 token ,但还会进行 个人确认额外的。每次进行交互时,接收方会按照接收到的参数按照相同的方式进行产出密钥,然后依据此字段进行比对,来核验数据是否被篡改、及请求是否非法、异常。数据进行交互时,会同时按照动态策略采用 ”长串“ 密钥的某一个部分作为 Sign 的密钥,进行 Sign 校验方式组织进行传输。当然在此基础上,也可以进行另外的改造。
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 430
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
第三方公司对接接口限校验
zwj1030711290的优快云
05-27 821
第三方对接接口时的校验 调用方法时需要传参: @ApiModelProperty("加密时间戳") public String timestamp; @ApiModelProperty("加密密文") public String cipher; 调用方封装参数: //被调用方法地址 private static final String url = ""; //DTO为参数对象 根据业务需求调整 Map<String, String> cipher = CipherUtil.g
java 对外第三方接口
迷迷糊糊,懵懵懂懂
12-28 2332
Java中,对外提供第三方接口通常涉及使用令牌(Token)或API密钥(API Key)等方式来确保请求的合法性。以下是一个简单的基于令牌的示例,你可以根据实际情况进行修改和扩展。
Java 第三方接口,加密/解密】
迷迷糊糊,懵懵懂懂
01-04 1249
算法类型:AES/CBC/PKCS7Padding。秘钥:appSecret。
及常见的4大方式
qq_59950255的博客
05-18 6716
是指检验用户是否拥有访问某一个系统的限,传统的方式是通过密码进行验证,但是方法比较繁琐,现在一般不用. 分类 现在一般分为两类,一类是网络对用户的定,防止非法用户占用资源,第二类是用户对网络进行定,防止接入非法网络,被盗取信息。这种双向认证机制被称为AKA 1.HTTP Basic Authentication 这种授方式是浏览器遵守http协议实现的基本授方式,HTTP协议进行通信的过程中,HTTP协议定 义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。认证过程
api接口加密_如何设计一个牛逼的API接口
weixin_40001634的博客
11-20 148
java 第三方自定义加解密
02-28
### Java 中实现第三方自定义和加解密方法 #### 1. 基础概念 在接口测试中,是指验证请求发起者身份的过程。常见的方式包括API Key、OAuth2.0、JWT等。对于特定的第三方服务,可能还会涉及到更复杂的定制化机制[^1]。 #### 2. 使用国密算法(SM2)进行加密 当面对像物流监管平台这样的场景时,如果对方要求采用国家密码局制定的标准——即所谓的“国密”,那么就需要特别注意其特有的SM2椭圆曲线公钥密码体制的应用。由于PHP本身并不直接支持这类高级别的安全协议,因此通常会借助外部工具或库来完成相应的操作。一种解决方案是利用Java编写好的JAR文件来进行必要的转换工作,并通过命令行或其他桥梁技术将其集成到现有的PHP环境中去执行具体的加解密任务[^2]。 ```java // 调用 SM2 加密 JAR 包中的类 public class Sm2Encryption { private final String jarPath; public Sm2Encryption(String jarPath) { this.jarPath = jarPath; } /** * 执行 SM2 加密并返回结果字符串. */ public String encryptData(String dataToEncrypt) throws Exception { ProcessBuilder pb = new ProcessBuilder( "java", "-cp", jarPath, "com.example.Sm2MainClass", "--encrypt", dataToEncrypt); try (Process process = pb.start()) { BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream())); StringBuilder output = new StringBuilder(); String line; while ((line = reader.readLine()) != null) { output.append(line).append("\n"); } int exitCode = process.waitFor(); if (exitCode != 0) throw new RuntimeException("Failed to execute encryption."); return output.toString().trim(); // 去除结尾多余的换行符 } } } ``` #### 3. 消息体签名生成函数 为了确保通信过程中数据的一致性和完整性,在发送HTTP请求之前往往还需要计算消息体的哈希摘要并对之应用HMAC-SHA256算法得到最终的签名值。下面是一个简单的例子展示了如何基于给定的`key`参数以及待发送的数据包内容(`body`)构建出符合标准的消息体签名: ```java import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.util.Base64; /** * 创建 HMAC SHA-256 签名的方法。 * * @param key 密钥 * @param msg 待签名的信息 * @return Base64 编码后的签名串 * @throws Exception 如果发生错误则抛出异常 */ private static String hmacSHA256(final String key, final String msg) throws Exception { Mac sha256_HMAC = Mac.getInstance("HmacSHA256"); SecretKeySpec secret_key = new SecretKeySpec(key.getBytes(), "HmacSHA256"); sha256_HMAC.init(secret_key); byte[] hash = sha256_HMAC.doFinal(msg.getBytes()); return Base64.getEncoder().encodeToString(hash); } /** * 生产环境下的正式 API 函数用于获取 HTTP 请求报文体的签名。 */ public static String generateResponseBodySignature(String accessKey, String requestBody) throws Exception { return hmacSHA256(accessKey, requestBody); } ``` 上述代码片段实现了两个主要功能:一是提供了对外部SM2加密的支持;二是演示了怎样创建一个遵循行业惯例的消息体签名方案。这两个部分结合起来可以满足大多数情况下对安全性较高的Web服务端点实施有效保护的需求[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值