WEB API 接口签名sign验证入门与实战

最新推荐文章于 2025-05-21 12:33:37 发布
最新推荐文章于 2025-05-21 12:33:37 发布
阅读量5.5k 收藏 23
点赞数 4
分类专栏: java 文章标签: 前端 ssl 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Blueeyedboy521/article/details/127529305
版权

目录

参考

B站讲的最好的接口加密解密以及接口签名sign原理

什么是加解密

加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取
解密:将密文还原成原始数据

加密方式分类

对称式加密:对加密和解密使用同一个秘钥
非对称加密:非对称式加密需要两个秘钥(双钥),分别叫公钥和秘钥,这两把秘钥可以相互加解密。公钥公开的,不需要保密,而私钥是保密的。

对称加密技术

  • DES加密算法
  • AES加密算法
  • Base64算法

可以在https://www.bejson.com/enc/aesdes/体验
des和aes每次加密之后密文不一样,而Base64加密之后密文固定

非对称加密技术(RSA加密算法)(数字证书)

通过网站https://www.bejson.com/enc/rsa/在线生成公钥和私钥,并且可以进行公钥加密和私钥解密测试
在这里插入图片描述

场景1:公钥加密,私钥解密

两个用户:A和B,B有双钥;A想把一个数据报文通过加密方式发给B
在这里插入图片描述

场景2:秘钥加密:数字签名,公钥解密:验证签名

数字证书由来:由于公钥是公开的不安全,所以需要第三方的CA(数字证书颁发机构),对公钥加密,加密后的东西就叫数字证书
数字证书包括:B用户基本信息及B的公钥的信息。X509的标准

CA:双钥,通过私钥加密

在这里插入图片描述
Fiddler不能直接抓取https协议的数据报文,需要安装一个数字证书
https = http + ssl安全传输协议

ssl安全传输协议:安全套接层,NetScape研发

在这里插入图片描述

MD5(完全不考虑解密,也叫哈希算法,散列算法)

Postman

在这里插入图片描述

Jmeter

在这里插入图片描述
${__digest(MD5,admin,)}
在这里插入图片描述

接口签名sign原理

什么是接口签名

接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码
用户名:appKey
密码:appSecret

为什么做接口签名

  • 防伪装攻击
  • 防篡改攻击
  • 防重放攻击
  • 防数据泄露

保证访问者的合法性。保证参数不被修改,确保请求的唯一性

如何做接口签名

对所有参数按key按ASCⅡ码做升序排序

比如参数是?c=1&b=2&a=3
排序之后是a,b,c

把参数名和参数值连接成字符串

a=1&b=2&c=3

把申请到的appKey和appSecret连接到字符串的头部

appKey=admin&appSecret=123&a=1&b=2&c=3

用时间戳连接到字符串的尾部,可以增加失效检测

比如1分钟内有效

appKey=admin&appSecret=123&a=1&b=2&c=3&timestamp=1666757432136

增加随机数nonstr防止重放攻击

nonstr可以是随机数,最好是uuid

appKey=admin&appSecret=123&a=1&b=2&c=3&timestamp=1666757432136&nonstr=123123

把上述字符串进行md5加密

String str = "appKey=admin&appSecret=123&a=1&b=2&c=3&timestamp=1666757432136&nonstr=123123";
String sign = md5(str);

常见签名算法示例

示例1

签名算法
签名算法描述如下:
1.将请求参数按参数名升序排序;
2.按请求参数名及参数值相互连接组成一个字符串:…;
3.将应用密钥分别添加到以上请求参数串的头部和尾部:<请求参数字符串>;
4.对该字符串进行MD5(全部大写),MD5后的字符串即是这些请求参数对应的签名;
5.该签名值使用sign参数一起和其它请求参数一起发送给服务开放平台。

伪代码:

Map<String,Object> paramsMap = new ...; // 参数

Set<String> keySet = paramsMap.keySet();
List<String> paramNames = new ArrayList<String>(keySet);
// 1.
Collections.sort(paramNames);

StringBuilder paramNameValue = new StringBuilder();
// 2.
for (String paramName : paramNames) {
    paramNameValue.append(paramName).append(paramsMap.get(paramName));
}
// 3.
String source = secret + paramNameValue.toString() + secret;
// 4.
String sign = md5(source);
// 5.
paramsMap.put("sign",sign);

代码示例

import java.io.IOException;
import java.net.URLEncoder;
import java.security.MessageDigest;
import java.text.SimpleDateFormat;
import java.util.ArrayList;
import java.util.Collections;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.Set;

import org.junit.Test;

import com.alibaba.fastjson.JSON;

import junit.framework.TestCase;

public class PostTest extends TestCase {

    @Test
    public void testPost() throws IOException {
      String appKey = "xxx";
        String secret = "xxx";
        // 业务参数
        Map jsonMap = new HashMap();
        jsonMap.put("dicCode", "terminalType");

        String json = JSON.toJSONString(jsonMap);
        json = URLEncoder.encode(json, "utf-8");

        // 系统参数
        Map param = new HashMap();
        param.put("name", "dictionaryItem.list");
        param.put("version", "1.0");
        param.put("app_key", appKey);
        param.put("data", json);
        param.put("timestamp", getTime());
        param.put("format", "json");

        String sign = buildSign(param, secret);
        param.put("sign", sign);

        /*
        // 最终请求数据
       {
           "name":"dictionaryItem.list",
           "version":"1.0",
           "app_key":"test",
           "data":"%7B%22dicCode%22%3A%22terminalType%22%7D",
           "timestamp":"2021-12-15 10:25:02",
           "format":"json",
           "sign":"4B291FFFFDD6F0E3FB9708AC0F7AC334"
       }

        */
        System.out.println("=====请求数据=====");
        String postJson = JSON.toJSONString(param);
        System.out.println(postJson);
        // contentType:application/json
        // postJson放到请求体中
        // 发送请求
        String resp = HttpRequest.post("https://xxx.net/api").body(postJson).execute().body();
        System.out.println(resp);
        /*
        响应结果:
        {
            "code":"0",
            "data":[
                {"dicCode":"terminalType","isplay":1,"itemId":120,"itemName":"音柱/音箱","itemValue":"1","sort":1},
                {"dicCode":"terminalType","isplay":1,"itemId":121,"itemName":"AIO报警箱","itemValue":"2","sort":2},
                {"dicCode":"terminalType","isplay":1,"itemId":122,"itemName":"融媒体客服主机","itemValue":"3","sort":3},
                {"dicCode":"terminalType","isplay":1,"itemId":123,"itemName":"网络调音台","itemValue":"4","sort":4},
                {"dicCode":"terminalType","isplay":1,"itemId":124,"itemName":"云广播适配器","itemValue":"5","sort":5},
                {"dicCode":"terminalType","isplay":1,"itemId":125,"itemName":"音频编码器","itemValue":"6","sort":6},
                {"dicCode":"terminalType","isplay":1,"itemId":126,"itemName":"村级播控主机","itemValue":"7","sort":7},
                {"dicCode":"terminalType","isplay":1,"itemId":127,"itemName":"云话筒","itemValue":"8"},
                {"dicCode":"terminalType","isplay":1,"itemId":128,"itemName":"安卓手机客户端","itemValue":"9"},
                {"dicCode":"terminalType","isplay":1,"itemId":129,"itemName":"收扩机","itemValue":"10","sort":8}
            ]
        }
        */
    }

    /**
     * 构建签名
     *
     * @param paramsMap
     *            参数
     * @param secret
     *            密钥
     * @return
     * @throws IOException
     */
    public static String buildSign(Map<String, ?> paramsMap, String secret) throws IOException {
        Set<String> keySet = paramsMap.keySet();
        List<String> paramNames = new ArrayList<String>(keySet);

        Collections.sort(paramNames);

        StringBuilder paramNameValue = new StringBuilder();

        for (String paramName : paramNames) {
            paramNameValue.append(paramName).append(paramsMap.get(paramName));
        }

        String source = secret + paramNameValue.toString() + secret;

        return md5(source);
    }

    /**
     * 生成md5,全部大写
     *
     * @param message
     * @return
     */
    public static String md5(String message) {
        try {
            // 1 创建一个提供信息摘要算法的对象,初始化为md5算法对象
            MessageDigest md = MessageDigest.getInstance("MD5");

            // 2 将消息变成byte数组
            byte[] input = message.getBytes();

            // 3 计算后获得字节数组,这就是那128位了
            byte[] buff = md.digest(input);

            // 4 把数组每一字节(一个字节占八位)换成16进制连成md5字符串
            return byte2hex(buff);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * 二进制转十六进制字符串
     *
     * @param bytes
     * @return
     */
    private static String byte2hex(byte[] bytes) {
        StringBuilder sign = new StringBuilder();
        for (int i = 0; i < bytes.length; i++) {
            String hex = Integer.toHexString(bytes[i] & 0xFF);
            if (hex.length() == 1) {
                sign.append("0");
            }
            sign.append(hex.toUpperCase());
        }
        return sign.toString();
    }

    /**
     * 十六进制字符串转二进制
     *
     * @param hexString
     * @return
     */
    private static byte[] hexStringToBytes(String hexString) {
        if (hexString == null || hexString.equals("")) {
            return null;
        }
        hexString = hexString.toUpperCase();
        int length = hexString.length() / 2;
        char[] hexChars = hexString.toCharArray();
        byte[] d = new byte[length];
        for (int i = 0; i < length; i++) {
            int pos = i * 2;
            d[i] = (byte) (charToByte(hexChars[pos]) << 4 | charToByte(hexChars[pos + 1]));
        }
        return d;
    }

    /**
     * 二进制数据生成mp3音频文件
     *
     * @param data     二进制数据
     * @param filePath 文件目录
     * @return
     */
    public static String bytesToFile(byte[] data, String filePath) throws IOException {
        //方法一:直接生成文件
        String url = filePath + ".mp3";
        File file = new File(filePath);
        if (!file.exists()) {
            file.createNewFile();
        }
        FileOutputStream os = new FileOutputStream(file);
        os.write(data);
        //方法二:将二进制数据上传阿里云oss,生成文件
        //String url = "http://" + OSSFactory.build().uploadSuffix(data, ".mp3");
        return url;
    }


    public String getTime() {
        return new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());
    }
}
[系统安全] 二十.PE数字签名之(上)什么是数字签名Signtool签名工具详解
杨秀璋的专栏
02-07 7578
作者前文介绍了宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。本文将详细介绍什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。这些基础性知识不仅和系统安全相关,同样我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名Signtool签名工具详解(一)
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计会连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
api接口安全设计:使用token+sign+时间戳
qq_39666711的博客
08-11 1483
服务端以api的方式将数据响应给客户端是目前的趋势,可以用在前后端分离的架构中,前后端分离之后,前后端人员能够更加专注于自己板块的东西,也可以用在服务端服务端相互调用中。拿到接口后,客户端就可以通过api获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口来获取数据,因此我们的api接口就要使用安全验证。具体的操作为:客户端在生成sign值时,除了使用所有的参数和token外,再加一个发起请求时的时间戳。
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
接口测试必备技能—加密和签名
chengxuyuznguoke的博客
03-17 803
在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。
WebAPI签名
爱是永恒2020的博客
08-20 538
/// <summary> /// API签名验证方法 /// </summary> /// <param name="keys">参数集合,不包含appId,sign参数</param> /// <param name="secret">密钥</param> /// <returns></returns> publi
WEB API 接口签名验证入门实战课程
06-21
通过对API接口编写请求过程的分析认识到接口请求中的安全问题,并利用签名验证解决这些问题 这些 API数据传输各种安全问题包括: 1、如何接口请求这的合法性 2、如何保证登陆的安全性 3、如何保证请求的参数不被篡改以及请求的时效性 本套课程我们采用了签名验证算法解决了上述问题以及手把手教你如何实现编码。
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
API开发全攻略:从入门到精通的企业级API架构实战
最新发布
全栈
05-21 634
本书系统解析API开发的核心方法企业级实战,涵盖API设计原则、开发流程、安全机制及性能优化,结合Spring Boot、微服务架构等技术,深入讲解RESTful API、网关设计、跨平台兼容性等关键场景,通过实战案例提升开发者从需求分析到部署的全链路能力,适配企业级高并发、高可用架构需求,助力构建智能化、可扩展的API生态系统。
接口自动化从入门到精通(持续更新)
weixin_54897474的博客
02-26 1148
1.敏捷开发,接口一般数量很大,团队实现接口测试,版本控制。2.功能太死板,有些接口完全无法实现(复杂的加密接口签名接口等)3.接口项目当中有多种不同协议的接口。4.排错,定位接口问题不方便,结合抓包实现。5.没有办法生成美观的报告。6.多接口串联,数据库验证,日志监控,7.有些公司做web自动化+接口自动化。
API接口对接生成签名验证签名
11-01
API接口生成签名验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
API 签名认证
m0_74059961的博客
02-01 1085
介绍了什么是 API 签名认证、为什么需要 API 签名认证以及如何实现 API 签名认证,签名认证普遍需要六个参数,加密算法中的对称加密、非对称加密和单向加密并举出案例进行说明辅助理解
API接口签名验证
qq_25046827的博客
03-01 5020
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据客户端发送的数据一致,且让接口只能被客户端请求。
API 签名认证_api签名认证
2401_84240129的博客
06-24 806
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
webApi签名验证
weixin_30247159的博客
06-06 349
还是一如既往先上结构图如下: 上一讲说明了redis,也谢谢心态的建议。这里经过改进后的redis的地址 当然这里是加密了的,具体实现如下图: 这里提供的解密。 先把加密解密的帮助类放上来。 using System; using System.Collections.Generic; using System.IO; using System.Linq; usi...
详解 WebAPI 签名机制
weixin_34177064的博客
12-01 342
首先,写这篇文章的原因是因为最近某一个项目中的接口被人为调用了,导致了数据库数据被串改。虽然是内部人无意点的,但还是引起了我的担忧,所有整理了下关于WebAPI的相关签名机制。   一、我们在开发接口时,有时候嫌麻烦就懒进行相关的验证或只进行一些简单的验证,这样客户端就可以直接调用:如   调用WebAPI接口:http://XXX.XXX.XX.XXX:8123/Token/GetTest?ID...
API项目3:API签名认证
Gus10124的博客
10-11 1611
我们为开发者提供了接口,却对调用者一无所知假设我们的服务器只能允许 100 个人同时调用接口。如果有攻击者疯狂地请求这个接口,那是很危险的。一方面这可能会,另一方面,影响正常用户的使用。因此我们,例如限制每个用户每秒只能调用十次接口,即实施请求频次的限额控制。所以我们,并且不能让无权限的人随意调用。在我们之前开发后端时,我们会进行一些。例如,当管理员执行删除操作时,后端需要检查这个用户是否为管理员,直接从后端的 session 中获取的。
jmeter接口测试实战项目
03-08
### 使用JMeter进行接口测试的实际项目案例教程 #### HTTP协议接口测试实例 对于基于HTTP协议的接口测试,可以通过创建一个简单的测试计划来熟悉JMeter的基本操作[^1]。此过程涉及设置线程组、配置取样器(Sampler)、监听器和其他必要的组件。 #### 测试执行结果分析 当准备就绪后,启动测试计划以模拟不同数量用户的并发访问情况,以此评估目标系统的性能表现和稳定性状况。在此期间产生的数据可通过内置报表工具加以解析并呈现出来,便于进一步审查和优化工作[^2]。 #### FTP接口测试方案 除了常见的Web服务外,针对文件传输协议(FTP)类型的API同样能够运用该平台来进行详尽的质量检验活动;具体做法是在测试脚本里加入专门处理此类通信方式的操作步骤[^3]。 #### 复杂场景下的优势对比 相较于一些仅能处理较为基础任务的应用程序而言,在面对更为棘手的需求时——比如要在一个流程里面连续完成多项关联动作或是涉及到加密算法验证等情况之下——则显示出明显的技术优越性和灵活性特点[^4]。 #### 初学者快速入门指南 面向那些希望迅速掌握这项技能的新手朋友们,《10分钟学会Jmeter》这份资料提供了简洁明了的学习路径介绍,不仅涵盖了安装部署方面的指导说明,还包括了一系列实用技巧分享以及常见问题解答等内容[^5]。 ```python # Python示例代码并非来自上述引用材料,而是作为补充说明的一部分提供给读者理解如何集成Python脚本到JMeter中。 import hashlib def sign_data(data, secret_key): """ 对data字符串按照secret_key进行HMAC-SHA256签名 """ h = hmac.new(secret_key.encode(), data.encode(), digestmod=hashlib.sha256).hexdigest() return h ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值