【接口鉴权】接口鉴权机制（基于对称密钥加密）

原创已于 2025-08-05 10:53:13 修改 · 337 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#java

于 2025-07-29 17:27:56 首次发布

✅ 场景：接口调用时校验请求是否合法、防止伪造

🌟 整体流程逻辑图解：

第一阶段：用户注册实名阶段（初始化）

用户在业务系统注册实名。
业务系统为用户生成并分配一对凭证（密钥对）：
- id：用户唯一标识（如 userId、appId）
- secret（或称 password）：密钥（用户必须保管好）

第二阶段：用户调用接口（鉴权流程）

🔐 前端操作：

前端获取当前时间戳或生成一个随机数 random（例如 6 位或 16 位字符串）。
前端使用一个约定的加密算法（如 HMAC-SHA256(secret, id + random) 或 MD5(secret + random)）进行加密，得到 sign。
前端调用接口时提交以下参数：
- id
- random
- sign（加密后的签名）

🔍 后端验证流程：

后端接收到接口请求，提取参数：id、random、sign。
后端通过 id 获取该用户对应的 secret。
后端拼接相同规则的字符串，例如：secret + random。
后端使用相同的加密算法生成 serverSign。
后端对比：
- 如果 sign.equals(serverSign)：
  - 鉴权通过，允许调用接口。
- 否则：
  - 鉴权失败，返回错误信息（如 401 未授权）。

✅ 示例流程（伪代码）

前端生成签名：

const sign = md5(secret + random);

后端验证签名：

String secret = getSecretById(id); String serverSign = md5(secret + random); if (serverSign.equals(signFromRequest)) { // 鉴权成功 } else { // 鉴权失败 }

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

alan0721

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

必学必备的几种接口鉴权方式

魏小言的博客

03-11

3933

比如，传输的参数是 “abc"，传输的时候就变成了 “cde" ，位置偏移了三位。更近一步而言，在银行或涉及钱、个人信息等场景下，即使这样的接口成功通过 token 鉴权，但还会进行个人确认额外的鉴权。每次进行交互时，接收方会按照接收到的参数按照相同的方式进行产出密钥，然后依据此字段进行比对，来核验数据是否被篡改、及请求是否非法、异常。数据进行交互时，会同时按照动态策略采用 ”长串“ 密钥的某一个部分作为 Sign 的密钥，进行 Sign 校验方式组织进行传输。当然在此基础上，也可以进行另外的改造。

深入浅出用户认证鉴权---使用非对称加密算法加密登录

星丶空灬的博客

10-15

3252

深入浅出用户认证鉴权使用非对称加密算法加密登录面临的问题明文密码登录MD5/BASE64 加密登录解决方案对称加密与非对称加密对称加密非对称加密在登录过程中的使用使用非对称加密算法加密登录面临的问题明文密码登录被抓包后泄露用户密码攻击者模拟登录 MD5/BASE64 加密登录可通过抓包获取加密后的密文，进而模拟登录解决方案对称加密与非对称加密对称加密需要对加密和解密使用...

参与评论您还未登录，请先登录后发表或查看评论

使用JWT双令牌机制进行接口请求鉴权

北海之灵的博客

07-19

1638

1.JWT的使用 2.双令牌模式 3.无感刷新 token

【接口自动化测试基础之路 03】接口鉴权

alyone的博客

05-23

1240

简单的接口鉴权方面的概念

前后端跨语言RSA加解密和签名验证实现（js+python）

zerolea的博客

11-26

5291

前后端跨语言RSA加解密和签名验证实现（js+python），vue+tornado框架实现

揭秘黑客都疯抢的cookies_session_token接口鉴权机制：Python代码实现大揭秘！

m0_60054525的博客

04-07

406

在此鉴权方式下，用户在登录后，服务器会为其生成一个session_id，并将其储存在cookie中。最后，我们使用login函数获取session_id，然后调用api_call函数来调用API。API调用：用户在登录后，可以使用session_id和API token对服务端的API进行调用。在该API接口中，我们需要检查用户提交的session_id是否有效，并根据API token验证用户身份是否合法。因此，我们需要编写一个登录接口来完成用户登录操作，并返回session_id。

Web API接口鉴权方式

人间世

02-28

7764

介绍web API接口的鉴权方式

API接口开发 dome源码加密鉴权验证

11-29

非对称加密安全性高，但计算量大，适合用于交换对称密钥。在WebApiDemo中，你可以看到如何在API接口中应用这些加密算法，以保护传输的数据。其次，超时处理是防止恶意攻击和资源耗尽的有效手段。设置合理的请求...

API接口安全开发实战：加密与鉴权

对称加密在数据传输中使用相同的密钥进行加密和解密，效率较高，但密钥的安全分发是一个问题；非对称加密使用一对密钥，即公钥和私钥，公钥负责加密数据，私钥负责解密数据，解决了密钥分发的问题；哈希加密是对数据...

LC_JWT_Test项目极简说明_支持JWT对称加密HS256和非对称加密RS256鉴权授权_内容关键词_对称加密与非对称加密原理对比HS256算法实现RS256算法实现J.zip

最新发布

09-08

LC_JWT_Test项目是一个极简的测试项目，旨在展示如何使用对称加密HS256和非对称加密RS256两种方法来实现JWT（JSON Web Token）鉴权授权机制。JWT是一种开放标准（RFC 7519），它定义了一种简洁的、自包含的方式，...

http通信鉴权（一）自定义加密鉴权

w_t_y_y的博客

05-26

8370

防止数据泄露和网络攻击，接口一般是需要鉴权控制访问的。如前后端分离项目中，前端带入token等方式。如果接口提供给第三方调用且无需登陆，则需要给该接口加白名单，但是这样会造成安全问题，我们可以约定参数进行鉴权；鉴权采用固定参数同样存在安全问题，容易被抓包获取到。可以带入动态的时间戳来鉴权。

接口自动化 --- 授权、鉴权以及实例说明

Monkey__yuan的博客

05-19

2886

接口的安全机制

weixin_30488085的博客

10-28

523

方式一：用户认证这种认证方式是一种相对较弱的认证方式，安全性较低。方式二：数字签名在使用HTTP/SOAP 协议传输数据的时候，签名作为其中一个参数，可以起到关键作用。 1. 鉴权什么是鉴权，通过客户的密钥，服务端的密钥匹配：比如：一个接口的传参是 http://127.0.0.1:8000/api/?a=1&b=2，签名的密钥为：@...

【接口测试】鉴权初了解

黑黑白白君的博客

06-05

5161

文章目录1.1 什么是鉴权？1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程：HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程：token鉴权方式适用场景*JWT（JSON WEB TOKEN）3、session + cookie鉴权方式session+cookie认证流程：*s

鉴权机制简介

weixin_43414019的博客

12-18

829

（Authorization Mechanism）是指在系统中对用户或请求进行身份验证（Authentication）后，决定其是否有权限访问特定资源或执行特定操作的机制。简单来说，鉴权是基于用户身份的权限控制过程，确保用户只能访问他们被授权的资源。

接口鉴权cookie、session和token

Monster‘s blog

01-22

3179

一、鉴权 1、鉴权是指验证用户是否拥有访问系统的权力------鉴定权限二、为什么会有cookie、session和token 1、http是无状态协议什么是无状态？就是说这一次请求和上一次请求是没有任何关系的，无法共享信息。好处是速度快。 2、互联网的兴起以前Web基本上就是文档的浏览而已，作为服务器，不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议，给予响应即...

权限校验—接口检验

一起加油吧~

08-08

4961

获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息，或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。

聊一聊接口测试如何处理鉴权

奇峰卧虎

05-01

1845

在接口测试中，鉴权（Authorization）是验证请求方是否有权限访问特定资源的关键步骤。鉴权主要是验证用户是否有权限访问某个接口，确保安全性，因为很多接口都需要验证用户的身份和权限，否则会有安全风险。常见的鉴权方式有哪些，可能包括Basic Auth、Token、OAuth、JWT、API Key、HMAC，还有签名验证这些，鉴权方法时需要注意哪些点，比如参数的位置是否正确，Token是否过期，还有权限控制是否严格，这些都是测试过程中容易出问题的地方。

web api的鉴权机制有哪些？具体原理是什么？

weixin_42584758的博客

02-08

202

常用的鉴权机制有基于令牌的鉴权、基于HTTP协议的鉴权、基于OAuth2.0的鉴权、基于OpenID Connect的鉴权等。其中，基于令牌的鉴权是指，客户端在请求资源时，需要携带令牌，服务器端会验证令牌的有效性，如果有效，则允许客户端访问资源；基于HTTP协议的鉴权是指，客户端在请求资源时，需要携带HTTP认证信息，服务器端会验证认证信息的有效性，如果有效，则允许客户端访问资源；基于OAuth2...