基于签名实现的接口鉴权

最新推荐文章于 2024-10-14 17:23:35 发布
原创 最新推荐文章于 2024-10-14 17:23:35 发布 · 1.2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #服务器

本文探讨了在IT开发中如何通过使用Token和签名来保护用户权限和会话安全,强调了Token并非绝对安全,还需配合签名值进行请求合法性校验。文章详细介绍了签名计算的设计,包括签名字符串、签名key的选择以及接口合法性校验流程。

一、Token与签名

一般客户端和服务端的设计过程中,大部分分为有状态和无状态接口。一般用户登录状态下,判断用户是否有权限或者能否请求接口,都是根据用户登录成功后,服务端授予的token进行控制的。但并不是说有了token,请求就是安全的,那么万一token泄露了怎么办呢?谁都可以调用我的服务了吗?

就比如去银行取钱,需要用到银行卡。但不能因为你不小心把银行卡弄丢了,捡到的人就可以拿着你的银行卡去银行办理业务了。他们还需要对你的身份进行验证,你也要知道银行卡密码。

所以token只是用户权限以及会话的凭证,除了会话的凭证,我们也要校验请求的合法性,以防止token泄露而导致客户的损失。

而签名摘要计算则是用来进行请求合法性校验。经常同学们会把这两种搞混。以为使用token就是安全的。

二、签名计算设计

签名摘要的计算一般分为签名值和签名的key,signature生成方式如下:

signature = Base64(HMAC-SHA256(LOWER(MD5(key)), StringToSign))
2.1 签名字符串的设计

设计签名字符串时,我们要想好,我们要针对不同的攻击策略,设计什么样的请求头部

常用的签名字符串设计如下:

StringToSign =  Content-MD5 + "\n"
               + CanonicalizedHeaders

CanonicalizedHeaders构建方法如下:

1.以service为前缀的的Headers,但是不包括service-signature,如下

  • service-nonce:客户端生成32位随机字符串,所有客户端5分钟内不能重复,重复时平台回复nonce重复,客户端需要重新请求。

  • service-date:请求生成的时间,与服务器本地时间差超过5分钟,认为鉴权失败。

  • service-session-id:客户端会话id,用于本次登录后的所有请求会话标识。

  • service-client:客户端信息,包括客户端类型、客户端版本、操作系统等。

2.Header名称全部小写,值前后应不包含空格

3.Header的名称和值之间用“:”相隔,组成一个完整的header

4.根据header名称的字符顺序,将header从小到大进行字典排序,每个header之后跟一个“\n”

StringToSign生成示例

eB5eJF1ptWaXm4bijSPyxw==\n
service-client:ewogICAgImRhdGEiOiB7CiAgICAgICAgImNsaWVudFR5cGUiOiAieHh4IiwKICAgICAgICAiY2xpZW50VmVyc2lvbiI6ICIzLjAiCiAgICB9Cn0=\n
service-date:2022-07-22T14:43:07Z\n
service-nonce:d36e316282959a9ed4c89851497a717f\n
service-session-id:0123456\n
2.3. 签名key设计

一般客户端请求的接口类型有三种,分别是有登录状态和无登录状态以及登录这个特殊接口。无登录状态前的接口都是服务为了提供能力而做的一些接口,相比而言都是提供通用能力的。不涉及客户个人信息相关。安全风险较小。

用户登录后的接口一般都是涉及到客户信息的接口,隐私泄露风险较大。因此对于每一种状态可采用不同的key值设计。讲风险降到最低。

2.3.1. 用户未登录签名key值

用户未登录时,平台提供通用能力,调用服务端接口时使用约定好的固定SK进行接口签名鉴权即可。固定SK由后台提供16位的随机字符串。

2.3.2. 用户登录签名key值

我们知道,所有在客户端和前端保存的key值永远不是最安全的,有可能被拆包而发现对应的加密SK,从而被不法分子破解,因此用户登录时,传输密码时,如果使用固定key,有可能body体被解开,密码被泄露的风险。

登录时用户会输入密码,而服务端也知道用户加密后的密码,那么使用用户输入的密码当做key则是最安全的方式。并且交互过程中不需要将用户密码放在body体重传到后端进行校验,只需校验签名的准确性即可。这样就可以极大的增加用户密码的安全性。

用户登录验证时会输入用户的密码,则登录时用户密码作为签名的key进行鉴权校验。加密key为:SHA256(LOWER(MD5(passwd)),salt),salt为用户的盐值,可以使用用户的手机号。

2.3.3. 用户登录签名key值

用户登录成功之后,所有接口都要有鉴权,为了每个用户安全起见,针对每个用户颁发自己的SK,登录成功后获取。这样客户端将sercet保存到内存中,可以有效防止SK泄露。

  • 用户注册成功后,针对用户账户后台生成16位的sercet

  • 用户登录成功后,后台返回用户的sercet

  • 登录之后的接口鉴权使用sercet进行鉴权。

三、接口合法性校验流程

请求合法性校验流程如下:

1、首先对接口的请求头的nonce进行5分钟内是否重复的校验,可以有效的防止重放攻击。

2、然后对时间戳进行校验,防止客户端时间篡改攻击。

3、之后对请求的MD5进行校验,防止对请求体进行篡改。

4、最后将nonce,date,md5以及session进行组合签名校验,校验签名值是否成功。可以有效防止上面单一修改验证通过,但签名值校验不通过的问题。

基于以上的校验,基本上可以防止大部分攻击场景。当然为了更加安全,你还可以增加黑白名单限制、接口访问限流、用户常用设备绑定、用户异地登录等保护用户财产的安全性设计。

自定义注解加 AOP 实现服务接口以及内部认证
qq_64948664的博客
10-01 2026
1.定义注解:使用@interface关键字定义注解。2.注解元素:在注解中定义元素,就像在接口中定义方法。3.元注解:使用元注解(如@Retention、@Target等)来描述注解的行为。1. 定义注解可以使用@interface关键字来定义一个注解。在上面的例子中, MyAnnotation 注解有两个元素: value 和 number。其中, number 有一个默认值 0。2. 元注解元注解是注解的注解,用来描述注解本身的行为。
基于springcloud接口
awoshiwpl的博客
09-29 1679
梳理一下流程 1.调用方需要获取到token(由code和secret和随机数加密生成) 2.调用接口前先通过服务端的要求传入相应的数据生成token,调用接口时把token传入 3.由服务端接收到token进行验证 4.验证成功后对url进行 接口信息以及限信息回放在数据库中(mysql以及redis) 资源信息表 调用方身份表;java后端、app端、H5…要进行区分 中间表;每种身...
接口+接口签名
奇葩也是花
05-06 2484
接口实现 【 微信公众号中,不同类型的公众号有不同的限。 】 如何实现: 借助了appid和appsecret。 接口如何实现? 1、给每个客户端下发一个appid和appsecret 2、接口端给每个客户端设置不同的限 3、客户端请求接口的时候,接口端根据客户端传递的appid,找到客户端对应的限 4、判断用户是否具备调用该接口限。 为什么要做接口签名? 防止数据被篡改 ...
API接口签名设计
分享DotNet技术和日常开发笔记,DotNet,Python为主。
03-28 753
在设计API接口签名时,通常会使用一种加密算法来生成签名,以确保请求的合法性和安全性。以下是通过签名的设计方案。
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 436
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
API签名设计
后面牵个人的博客
12-26 3412
API的作用:识别调用方身份,控制API的访问限,进而保护平台数据的安全。
Net WebForm 和 WinForm 的MD5算法
weixin_30567225的博客
07-17 175
WebForm: private string GetMd5(string ps) { return System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(ps,"MD5"); } WinForm string GetMd5(strin...
Java中使用JWT生成Token进行接口实现方法
08-25
Java中使用JWT生成Token进行接口实现方法 Java中使用JWT生成Token进行接口实现方法是当前最流行的方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口的详细实现方法。 什么是JWT? JWT...
基于JWT的接口实现
本文将介绍基于JWT的接口实现,包括JWT的工作原理、接口实现步骤、JWT在实际项目中的应用、安全性考量、总结等内容,旨在帮助读者了解JWT接口的原理和实践应用。 # 2. JWT的工作原理 JWT
基于Token的接口实战
本章将深入探讨接口的重要性,接口的分类和常用方案,以及为何选择基于Token的接口方式。 ### 1.1 什么是接口以及其作用 接口是指在接口调用时对调用方的身份进行验证,确保调用方有限进行...
接口测试中的与加密:实战指南
KakaCeshi的博客
09-20 2227
接口测试中, 和 数据加密 是确保系统安全的重要措施。通过 OAuth、JWT 和 Cookies 进行,可以有效防止未经授的访问。同时,使用 HTTPS 加密或自定义加密算法保证数据在传输过程中的安全性。
Web API接口方式
人间世
02-28 7747
介绍web API接口方式
签名(Signature)认证实现方式-用于请求
热门推荐
Solin的博客
07-16 1万+
常用的请求认证方式有两种: 1、Signature认证 一次性的身份校验方式,常见于不同项目间的api通信 一般形式是通过 AppID/AccessKey/AppSecret 及签名算法针对通信数据生成签名 AccessKey作为公钥,AppSecret作为私钥,AppSecret不能放在网络上传输 接口数据推送时,会随带上AppID、AccessKey、Timestamp及 Signatu...
API接口
qq_40660283的博客
08-17 1635
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用注解
软件测试 接口测试 接口 token Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 3452
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
java对String进行sha1加密
Ethan96的博客
11-02 1223
java对String进行sha1加密 方法一: 1、使用apache的codec jar包对string进行加密,先下载并引入jar包:   http://commons.apache.org/proper/commons-codec/ 2、生成: String sign = DigestUtils.shaHex(str); 方法二: /** * 进行sha1加密 * * @param strs * @return */ private String getSha1(String strs)
[C#] 基于 Token 的签名机制详解 接口对接 token、sign(a=1&b=2&c=3&d=4)、Base64、参数加密、MD5
Hellc007的博客
09-06 2143
这段代码框架可以帮助你进行C#对接的基本操作。如果需要进一步定制或复杂的逻辑,可以根据需求扩展。Java 语言替换时可能会产生多余换行符,要处理掉,以免接口返回“非法请求”。使用以下C#代码来对接该接口。下面是一个步骤分解的示例,包括如何获取。实际上是经过伪装的,并非原始。
签名字符串生成 参数名ASCII码从小到大排序
lxy826076的博客
09-03 1330
背景: 网上签名大部分用的到了阿里的fastjon,奈何有些项目不能使用这个jar包,只能另寻方法 签名规则说明: 签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ...
JavaWeb】SpringBoot整合JWT认证机制实现接口
精益求精
10-14 1079
最开始 我们登陆的时候,是将 对象存到session当中,每次请求的时候,取session中是否存在该对象进而判断是否通过认证。 然后是 token+redis 的方式,将seesionID 作为 token,存储到redis中(token:user),并设置过期时间,同时将 token 通过响应传回给 浏览器,存储到 localstory,每次请求的时候把token放到请求的header中,查询redis一致的话,通过认证。 jwt使用 hamc算法,或使用rsa公钥进行签名
网关层基于API接口输出方案
最新发布
04-18
<think>好的,我现在需要帮助用户找到基于API接口的网关层方案。用户已经提供了一些引用内容,我需要仔细分析这些信息,并结合自己的知识来给出合适的回答。 首先,用户提到的三个引用分别涉及不同的方法。引用[1]讨论了在网关层统一的几种方式,比如使用HashMap、配置文件、配置中心或数据库存储需要的URL。引用[2]展示了网关如何通过限码进行接口级别的,涉及登录流程和限验证。引用[3]提到了使用JWT和JJWT工具进行token签发和验证。 用户的需求是寻找网关层API接口实现方案。需要结合这些引用中的方法,给出几种可行的方案,并比较它们的优缺点。同时,用户可能希望了解具体的实现步骤或技术选型,比如如何使用JWT、如何配置路由规则等。 接下来,我需要整理出几种常见的方案: 1. **路径匹配**:根据URL路径进行匹配,可以在网关配置文件中预定义需要的路径,或者动态从数据库/缓存加载。这种方法简单但不够灵活,难以处理复杂限。 2. **限码**:每个接口关联限码,用户token中携带限信息,网关验证限码是否匹配。这需要限码与接口的映射管理,可能涉及RBAC模型。 3. **JWT令牌**:使用JWT传递用户身份和限,网关解析并验证JWT的有效性及签名。JWT可以包含用户角色或限,网关根据这些信息控制访问。 4. **动态规则**:结合配置中心(如Nacos、Apollo)动态更新规则,网关实时获取最新规则,提高灵活性。 5. **混合模式**:结合上述几种方法,例如使用JWT传递基础信息,同时通过限码进行细粒度控制,或者动态加载路径。 需要分析每种方案的适用场景、优缺点,以及实现时的注意事项。例如,路径匹配适用于简单场景,但维护成本高;JWT适合无状态验证,但需处理令牌撤销问题;动态规则适合频繁变更的环境。 此外,引用中提到的技术如JJWT工具、配置中心、过滤器机制,都需要在方案中提及,说明如何具体应用这些技术来实现。 最后,要确保回答结构清晰,分点说明,并生成相关问题,帮助用户进一步探索。同时,检查是否符合用户要求的格式,如使用正确的LaTeX、引用标注等。</think>### 网关层 API 接口方案实现方式 #### 一、核心模式 1. **路径匹配** - **实现方式**:在网关配置文件中定义需接口路径,例如使用YAML配置: ```yaml secure-urls: - /api-order/** - /api-user/profile ``` 网关过滤器通过正则匹配请求路径,拦截未授的访问[^1]。 - **优点**:简单易实现,适用于固定接口规则。 - **缺点**:灵活性低,需重启服务更新配置。 2. **限码动态** - **实现流程**: 1. 用户登录后,授服务生成包含限码的Token(如JWT格式)[^3]。 2. 网关解析Token中的限码,与接口要求的限码对比(例如`order-info`限码对应`/order/info`接口)[^2]。 3. 未匹配则返回`403 Forbidden`。 - **技术要点**: - 使用JJWT库生成/验证Token: ```java Jwts.builder().claim("perms", ["order-info"]).signWith(secretKey).compact(); ``` - 限码与接口映射关系可存储在数据库或缓存中。 3. **JWT令牌** - **核心步骤**: 1. 网关验证JWT签名有效性(防止伪造)。 2. 检查Token过期时间及限声明(Claims)。 3. 结合RBAC模型,验证用户角色是否拥有接口访问[^3]。 - **增强方案**: - 使用非对称加密(如RSA)提高安全性。 - 添加黑名单机制应对Token泄露问题。 #### 二、动态规则管理方案 1. **配置中心集成** - 将规则存储在Nacos/Apollo等配置中心,网关监听配置变更,实现实时更新[^1]。 - 规则格式示例: ```json { "/api-payment/**": ["payment-read", "payment-write"], "/api-report/download": ["report-admin"] } ``` 2. **注解自动采集** - 在微服务接口代码中添加自定义注解(如`@RequirePermission("order:read")`)。 - 服务启动时扫描注解,将接口路径与限码的映射关系持久化到数据库[^1]。 - 网关通过定时任务或消息队列同步最新规则。 #### 三、技术选型对比 | 方案 | 适用场景 | 维护成本 | 性能影响 | |---------------------|----------------------------|----------|----------------| | 路径匹配 | 接口规则稳定的内部系统 | 低 | 低(正则匹配) | | 限码动态 | 需细粒度控制的业务系统 | 中 | 中(DB查询) | | JWT+RBAC | 分布式无状态架构 | 高 | 低(本地验证) | | 配置中心动态规则 | 高频变更限策略的企业环境 | 高 | 低(内存缓存) | #### 四、实现示例(Spring Cloud Gateway) ```java public class AuthFilter implements GlobalFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String path = exchange.getRequest().getPath().value(); String token = extractToken(exchange.getRequest()); // 1. 验证Token有效性 if (!JwtUtils.validateToken(token)) { return setResponse(exchange, 401, "Invalid token"); } // 2. 获取限码并匹配接口 List<String> perms = JwtUtils.getPermissions(token); String requiredPerm = loadRequiredPermFromCache(path); // 从Redis读取接口所需限 if (!perms.contains(requiredPerm)) { return setResponse(exchange, 403, "Access denied"); } return chain.filter(exchange); } } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值