第三方接口对接之鉴权

最新推荐文章于 2024-09-20 17:16:49 发布
最新推荐文章于 2024-09-20 17:16:49 发布
阅读量2.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 后端 文章标签: 鉴权 加密 对接 验证 第三方
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/lkx444368875/article/details/89493524
本文介绍了与第三方接口对接时的鉴权过程,涉及加密验证,包括DES加密、HMACSHA1和Base64编码。对接要求包括使用特定参数生成Signature签名,确保数据安全性和身份验证。文章详细阐述了加密步骤及各加密方法的作用,如HMACSHA1用于防止数据篡改,Base64用于文本编码,DES用于特定参数加密。并展示了部分关键代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第三方接口对接

鉴权

记录一次和第三方接口对接的过程。

对接要求

对方的接口做了加密验证,需要将参数进行加密生成一个Signature签名。然后对方也会根据参数做一样的步骤来比对签名是否相等来判断参数是否被篡改或者判断身份是否一致。

对方提供了以下几个参数:

  • accessKey : 和参数进行混合的key
  • accessSecret: 进行base64编码的时候的密码
  • dateTime : 密钥生成的时间,对方文档会标注根据该时间来判断接口的有效时间。比如5分钟内该参数是有效的,超过5分钟对方就认为这个请求已经过期了。
  • randomNumbers : 随机数
  • password : DES加密的密码

加密的类型:

明文参数:

  • 手机号码 : 需要通过DES进行加密,加密的密码为上面提供的password。

密文参数:

  • 首先拿到明文参数

  • 参数的顺序必须一致:例如一段json字符串数据,里面的key必须按照a-z不区分大小写的顺序进行排列。

  • 除了业务参数,还有通用参数:accessKeydateTimerandomNumbers等等加入到参数字符串中。

  • 所有的key对应的value必须要经过URLEncoder进行编码,避免出现中文乱码的情况。

  • 将所有参数通过字符串拼接成一个整的字符串,类似于URL中GET请求参数的样子。然后将得到的这个参数值进行HMACSHA1加密,加密的密钥为accessSecret

  • 最后通过Base64生成密钥。

  • 将这个密钥加入到请求的header头中。

  • header头也需要带上通用参数。

以上加密的方式主要是为了保证,参数不能被篡改,调用方的身份验证。两边加密和解密的步骤是一致的。否则就会鉴权失败。

另外简单描述一下各个加密的用处:

HMACSHA1 : 是从 SHA1 哈希函数构造的一种键控哈希算法,被用作 HMAC(基于哈希的消息验证代码)。 此 HMAC 进程将密钥与消息数据混合,使用哈希函数对混合结果进行哈希计算,将所得哈希值与该密钥混合,然后再次应用哈希函数。 输出的哈希值长度为 160 位。

在发送方和接收方共享机密密钥的前提下,HMAC 可用于确定通过不安全信道发送的消息是否已被篡改。 发送方计算原始数据的哈希值,并将原始数据和哈希值放在一个消息中同时传送。 接收方重新计算所接收消息的哈希值,并检查计算所得的 HMAC 是否与传送的 HMAC 匹配。

Base64 : 是一种任意二进制到文本字符串的编码方法,常用于在URL、Cookie、网页中传输少量二进制数据。

DES加密 : 双方约定一致的key进行加密,生成64位的明码形式进行传输,各方可以通过key进行解密

关键代码展示:

HMACSHA1 :

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
public class HMACSHA1 {
   
   
 
	private static final String MAC_NAME = "HmacSHA1";  
    private static final String ENCODING = "UTF-8";  
    
	/*
	 * 展示了一个生成指定算法密钥的过程 初始化HMAC密钥 
	 * @return 
	 * @throws Exception
	 * 
	  public static String initMacKey() throws Exception {
	  //得到一个 指定算法密钥的密钥生成器
	  KeyGenerator KeyGenerator keyGenerator =KeyGenerator.getInstance(MAC_NAME); 
	  //生成一个密钥
	  SecretKey secretKey =keyGenerator.generateKey();
	  return null;
	  }
	 */
    
    /** 
     * 使用 HMAC-SHA1 签名方法对对encryptText进行签名 
     * @param encryptText 被签名的字符串 
     * @param encryptKey  密钥 
     * @return 
     * @throws Exception 
     */  
    public static byte[] HmacSHA1Encrypt(String encryptText, String encryptKey) throws Exception   
    {
   
            
    	byte[] data=encryptKey.getBytes(ENCODING);
    	//根据给定的字节数组构造一个密钥,第二参数指定一个密钥算法的名称
        SecretKey secretKey = new SecretKeySpec(data, MAC_NAME); 
        //生成一个指定 Mac 算法 的 Mac 对象
        Mac mac = Mac.getInstance(MAC_NAME); 
        //用给定密钥初始化 Mac 对象
        mac.init(secretKey);  
        
        byte[] text = encryptText.getBytes(ENCODING);  
        //完成 Mac 操作 
        return mac.doFinal(text);  
    }
}

DESUtils:

import sun.misc.BASE64Encoder;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESKeySpec;
import java.security.SecureRandom;

public class DESUtils {
   
   

    /**
     * @param data
     * @return
     * @throws Exception
     * @Method: encrypt
     * @Description: 加密数据
     * @date 2016年7月26日
     */
    public static String encrypt(String data, String password) {
   
     //对string进行BASE64Encoder转换
        byte[] bt = encryptByKey
最低0.47元/天 解锁文章

200万优质内容无限畅学
如何对接三方接口(建议收藏)
技术分享
06-02 332
如何对接三方接口,建议收藏!
第三方支付身份认证和银行卡接口文档
10-11
第三方支付身份认证和银行卡接口文档
SpringBoot-Vue第三方统一认证接口——调用与对接总结
Ava_16的博客
12-01 5276
​ 基于SpringBoot-Vue的前后端分离项目,服务器部署在CentOS8操作系统上,与第三方进行统一认证接口对接第三方统一认证登录可以解决用户在浏览器打开多个web应用时需要输入多次用户名密码登录的问题,实现用户一次登录,多个系统使用的效果。 Web登录过程 ​ Web页面集成统一认证的原理是:当在浏览器打开集成了统一认证的某应用的页面时,页面重定向跳转到统一认证登录界面,登录之后页面重新回到用户请求的目标页面,而此时,如果用户在相同浏览器再打开另外一个集成了统一认证的页面时,由于该页面也会跳
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 379
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
JavaWeb项目对接第三方接口
weixin_44506280的博客
08-06 2643
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。
java 对外第三方接口
迷迷糊糊,懵懵懂懂
12-28 2249
在Java中,对外提供第三方接口通常涉及使用令牌(Token)或API密钥(API Key)等方式来确保请求的合法性。以下是一个简单的基于令牌的示例,你可以根据实际情况进行修改和扩展。
对接第三方接口
t194978的博客
10-30 1625
实际上,攻防之间没有绝对的安全,我们能做的是尽量提高攻击者的成本。相对方案二,方案三的方法相对已经有很大提升了(同样参数不能无限制调用),但是仔细一想,还是有问题,攻击者截获请求以后,还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是。,发现我们已经实现了的效果,但是每个接口前面都有一大堆逻辑,这代码太那啥了。是一样的,未授系统截获后还是可以通过重放的方式,伪装成认证系统,调用这个接口
smart rtmpd 第三方接口说明
freeabc的专栏
04-27 3777
----------------------------------------------------------------------------------------------------------------------------------------------------------------- 一分钟快速搭建 rtmpd 服务器:https://blog.csdn....
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
最新发布
02-28
尤其是在第三方系统需要访问某资源库或API接口时,通常需要实现一定的安全措施来验证访问者的身份,防止未授的使用,其中数字签名技术便是实现这种安全验证的常用方法之一。本资源包围绕“第三方系统访问芋道源码...
接口测试中的加密:实战指南
KakaCeshi的博客
09-20 2040
接口测试中, 和 数据加密 是确保系统安全的重要措施。通过 OAuth、JWT 和 Cookies 进行,可以有效防止未经授的访问。同时,使用 HTTPS 加密或自定义加密算法保证数据在传输过程中的安全性。
第三方】网页第三方
snow_finland的专栏
01-22 2154
0、通用流程 (1)去第三方填写必要的材料,申请获取需要的信息(比如appid,appsecret等),如果需要打通app和网页应用(或多个网页应用之间打通),也需要去指定地方申请打通 (2)通过第三方提供的sdk,或者我们自己的一个中转网址,跳转到第三方的网址并带上指定的参数 (3)第三方网址通过网址参数,得知我们应用身份,用户登录第三方的账户后,第三方会带上参数回调到我们的回调网址 (4)在...
api postmain _API 接口设计
weixin_39582724的博客
12-18 206
已经开发好了一套 RESTful API 接口,方便PC端和APP端调用,只进行了 session 认证,每次调用 API 都会检查当前 session 中是否存在 uid,也就是判断是否已经有用户登录了,这样可以防止未登录的用户调用API接口,但这样设计肯定有问题,所以我想用 token 方式认证,类似于 github 的 token 认证,在调用 API 时携带 token 进行认证,这样不需...
原创|对接三方服务商回调的程序代码设计
秋夜无霜
12-02 1291
通过系统应用服务总会与三方服务商进行对接,既然有对接,就会有回调。但是此应用服务由于部署在公网访问,为了考虑系统安全系以及防止报文被篡改,这就意味着我们需要跟三方服务商进行技术方案设计。此文章,就是一个具体典型的案例,由于此应用服务有两个不同的场景,但是设计上又有不同差异之处,所以在总体程序设计上巧妙的满足场景的需求前提下,又能尽可能做到更好的扩展维护。
API接口设计,需要注意这4点
web前端开发
11-07 1073
原文 | http://www.woshipm.com/pd/2772820.html原则上API接口设计一般出现在开发的详细设计中,但是随着诸多公司建立开放平台,产品经理也逐渐需要能理...
第三方
qq_43632987的博客
06-21 281
POST请求,JSON传参(application/json,支持仅url传参)a、 拼接appId和时间戳ts请求参数b、 对json字符串进行Base64编码(参考附录3)c、 使用appKey作为密钥对appKey本身进行AES加密(参考附录1)d、 将经过Base64编码的json参数(参数名:base64JsonBody)和经过AES加密的appKey拼接到(a步骤构建的)请求参数后e、 对(d步骤构建的)请求参数进行MD5摘要计算获取指纹签名(参考附录2)
文件服务器,第三方应用服务器流程
weixin_36408592的博客
07-31 826
概述云通讯平台基于安全考虑,在开发者调用云通讯平台语音API后,云通讯平台会向第三方应用服务器发起请求,如下图所示:因此,在一个语音应用正式上线前,开发者需要配置第三方应用服务器的地址(云通讯称之为回调地址),请参考新手指引;云通讯的请求采用标准的HTTP/HTTPS,请求和响应的报文参见接口说明。第三方接口开发步骤说明首先要明确通知有3个:分别为呼叫,呼叫建立,呼叫挂...
Web API接口方式
人间世
02-28 7420
介绍web API接口方式
三方接口就要这样设计,非常优雅!
码猿技术专栏
04-24 668
大家好,我是不才陈某~在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。在设计三方接口调用的方案时,需要考虑到安全性和可用性。以下是一种设计方案的概述,其中包括使用API密钥(Access Key/Secret Key)进行身份验证和设置回调地址。Java进阶网站:https://java-family.cn设计方案概述1...
第三方对接海康威视门禁ISAPI
01-10
### 海康威视门禁系统ISAPI接口对接 为了实现第三方系统与海康威视门禁系统的ISAPI接口对接,需遵循特定的协议标准和流程。首先,了解ISAPI(Internet Services API)是用于访问设备功能的一种HTTP RESTful风格的应用编程接口。 #### 设备准备与环境配置 确保目标海康威视门禁控制器已正确安装并联网运行正常。获取管理员限账号以便后续操作,并确认该设备支持ISAPI服务开启状态[^1]。 #### 获取开发者文档和支持材料 前往官方技术支持网站下载最新的SDK包以及详细的《ISAPI集成开发指南》,其中包含了完整的URL路径定义、请求参数说明及响应码解释等内容[^2]。 #### 接口调用前准备工作 - **认证**:大多数情况下需要先完成身份验证过程才能继续其他业务逻辑交互;通常采用Basic Auth方式,在每次发起HTTP(S)请求时附带用户名密码信息作为Authorization头部字段传递给服务器端校验。 - **设置Content-Type**:对于POST/PUT类型的请求而言,应当指定`application/json;charset=UTF-8`来表明发送的数据格式为JSON字符串编码形式[^3]. ```json { "userName": "admin", "password": "your_password" } ``` #### 实现具体功能模块对接实例 假设现在要读取当前在线人员列表,则可以按照如下步骤执行: 构建GET方法请求至`http://<device_ip>/ISAPI/AccessControl/onlinePersonList?format=json`地址处,注意替换实际IP地址部分。成功返回后会得到类似下面结构化的数据体: ```json [ { "personID":"000001", "name":"张三", "cardNo":"AABBCCDD", "time":"2023-09-15T14:48:32Z" }, ... ] ``` 以上即完成了简单的查询动作展示[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值