提供给第三方的API的签名验证问题

最新推荐文章于 2024-05-14 16:54:50 发布
最新推荐文章于 2024-05-14 16:54:50 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_32362501/article/details/106535331
版权
当前API使用Bear Token进行验证,存在安全隐患,如第三方渠道可冒充客户。文章探讨了签名验证的重要性,提出注册生成clientID和SecretKey,使用Hmac进行签名计算,结合时间戳防止重放攻击,并通过限制散列值的有效期来进一步增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目前的状况

公司目前有若干的第三方API, 这些API是供第三方的一些渠道对接,让渠道可以访问到一些公司的业务信息,他们是这么设计的。

  1. 使用Bear Token 作为第三方访问API的时候的唯一验证方式, 当第三方需要访问公司的API的时候,任何请求需要在请求头里面添加 Authorization:头信息, 用来提供Token给服务器 从而验证当前的请求是否有效。
  2. 有一些操作我们想要回避第三方渠道, 如客户需要提交一些信息给服务器 第三方渠道不需要知道这些信息的时候, 我们会让访问第三方渠道的客户跳转到一个单独页面, 当然这个页面也需要有单独的token, 获取这个token的时候需要第三方渠道用带有 Authorization token的请求 去访问对应的生成token的API, 从而可以授权客户访问单独的页面和我方做交互
  3. 这些token 作为第三方渠道是完全可以看得到的,也就是说第三方渠道是可以冒充任何客户来和我们公司做交互。 但是君子协议说他们不会这么做。 这样出现的任何客户单独和我们做交互的页面的信息的丢失 第三方渠道是不需要负责任的。
  4. token并没有任何验证机制, 生成token 只是生成随机的固定长度的二进制数据, 然后转换为16进制, 然后做了一个有效时间验证保证token在6个小时内有效。没有任何的签名, 防重放攻击验证。

应该如何做签名验证

网上大概查了查 结合之前对接亚马逊 MWS接口的时候的经验,列一下一般的签名验证方法。

  1. 任何和API做对接的第三方都需要进行注册步骤, 通过注册后API会给第三方生成一个clientID 和一个SecketKey。 clientID是公开的, 用来唯一表示一个第三方渠道, 而secretKey是保密的只有第三方渠道
最低0.47元/天 解锁文章
api接口签名验证
liying15的博客
02-17 978
为了防止信息被篡改和伪造,保障通信对安全,在app对请求参数中常使用MD5、RSA、SHA等签名算法。下面以MD5为例学习一下: MD5参数签名 1、服务器和客户端约定一个salt (salt不参与通信,只要不泄漏,一般请求就不会被伪造) 2、按照指定顺序将所有参数排序,然后生成一个字符串 下面以一个简单对例子来讲解: 参数为:uid=12343546,noncse=8ec4560998,fro...
接口调试之获取个人签名的方法
AdolfQiu的博客
09-08 1352
@RequestMapping({"/test"}) public MessageBean test() { try{ HttpClient httpClient = new HttpClient(Optional.empty()); String appToken="WOAYGHIkxe"; String appSecret="1u2Kgy02RGuUH1c2Mo4EMOwN9hvdSQ"; ...
Api签名认证的实现
qq_64013657的博客
05-14 460
API 签名认证是一种常见的安全机制,确保请求是由授权的客户端发出的,并且在传输过程中没有被篡改。
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 6995
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
三方开放接口,Springboot通过AOP实现API接口的签名验证
qq_32430463的博客
06-21 3262
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
最新发布
02-28
本资源包围绕“第三方系统访问芋道源码接口”的安全需求,提供了一套详细的签名验证流程和调用接口的代码示例。 芋道源码作为一个开放的代码库或API服务提供方,其接口的开放访问自然需要具备一定的安全防护措施,...
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的...在设计和实现API签名验证时,开发者需要注意选择安全的算法,合理设置签名有效期,以及妥善保管私钥,以确保系统的安全性。
全新PHP第三第四方支付源码API聚合支付多通道
06-11
当我们谈论"全新PHP第三第四方支付源码API聚合支付多通道"时,我们指的是一个基于PHP开发的软件系统,该系统整合了多个第三方支付平台的接口,允许商家通过单一的接口实现多种支付方式,为用户提供更加便捷的支付...
Android 支付宝支付、微信支付、银联支付 整合第三方支付接入方法(后台订单支付API设计)
09-01
在移动应用开发中,集成第三方支付接口是必不可少的环节,特别是在Android平台上,用户通常期望能够通过支付宝、微信和银联等主流支付方式进行交易。本文将详细介绍如何整合这三种支付方式的接入方法,以及后台订单...
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 3864
springboot服务第三方接口安全签名(Signature)实现方案
SpringBoot 接口签名校验实践
竹林幽深
11-08 620
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解。
第三方接口联调(加解密与签名验签)
thlzjfefe的博客
03-13 3025
工作中经常有和第三方机构联调接口的事情,顾将用到过的做以记录。 在和第三方联调时,主要步骤为:网络、加解密/签名验签、接口数据等,其中接口数据没啥好说的。 在联调前就需要先将两边的网络连通,一般公司的生产环境都加了防火墙,测试环境有的是有防火墙,有的则没有防火墙,这个需要和第三方人员沟通,如果有防火墙的就需要将我们的出口ip或域名发送给第三方做配置,配置了之后网络一般都是通的。 加解密与签名验签: 一般第三方公司都会有加解密或签名验签的,毕竟为了数据安全。一般就是三...
第三方接口调用的参数加密验签
jll126的博客
07-19 1741
首先,下面的方式只支持post请求,get方式可以自己扩展。每当一个不能鉴权的接口需要被其它服务调用时,如果这个接口会暴漏在公网上,那么这个不能鉴权的接口或者无token的接口就需要换一种方式进行权限验证。通常使用的方法是参数加密。调用方和被调用方参数使用同一种规则加密,匹配成功,则允许请求,匹配失败,则拒绝请求。这种根据参数加密的方式往往能防止请求被其他方拦截后篡改参数,进行非法请求。这种加密有以下几种作用: 1. 加密时可以附带接口请求时的时间戳,这样可以保证一个接口只能在有效期内被访问。 2. 参
第三方使用接口的 URL 签名实现
weixin_33725515的博客
02-21 640
在开放给第三方使用的API中,如果让第三方携带明文的token请求服务,极有可能泄漏token。由于第三方身份验证服务器是依赖于token的,这样会造成不良的后果。为了提高通信的安全性,我们需要加密token,就是URL签名了。 实现URL的签名过程 生成URL签名的signature,假设第三方获取到token后,token=“aff9...
签名+验签(第三方)
zhenglianghui163的博客
01-15 6992
纸质时代,当写信,或者使用支票的时候,签上自己的名字,就表示这是自己写的,当别人拿到信的时候,如果认识笔迹,或者银行拿到支票后,进行一系列验证验证这个支票的真伪,前面的操作就是签名,说明是自己写的,后面的检验,就是验签,确认书写者身份。 信息时代,也有这方面的需要。 要确保信息是某人发送的,不让别个知道里面的内容,而且中间没有被修改,同时信息要完整。(信息安全三要素,有效性(Availabi
第三方接口调用提示时间戳过期
weixin_45656377的博客
08-26 7247
记录一次bug:远程调用第三方接口第三方接口一会提示时间戳过期,一会又当获取到当前系统时间戳后打上断点过一会再访问接口会发现正常访问。原因是当前系统时间戳比第三方的时间要快上几秒,打上断点访问由于时间延后,所以可以正常访问,之后放开断点去正常访问又会时间戳过期。最后解决方案是把当前系统时间手动设置调慢一分钟或者调快一分钟即可 ...
调用第三方接口报错
qq_43173523的博客
10-28 2991
用http调用第三方系统报错: 【前言】 最近在调用第三方测试环境的时候日志中报Certificate for doesn’t match any of the subject alternative names: [.xxx.id, .yyy.id, mmm.id]这个错,上网查找一些方案,以及向公司运维请教后最终确定问题,在此与大家共享。 【问题及解决方案】 一、问题描述: 业务需要通过htt...
实例-第三方接口签名加密
h2linlin的博客
08-06 2905
title: 实例-第三方接口签名加密 date: 2019-08-06 19:32:21 categories: 实战 安全 tags: 安全 top: 文章目录总述签名算法签名规则签名示例业务数据加/解密算法加密规则解密规则代码示例 总述 最近和第三方接口做对接,接口涉及到了签名和加密,因此在这里总结一下。签名和加密涉及对称加密、非对称加密、SSL等概念,可以在其他文章中参考。这里只做...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值