接口参数加密

最新推荐文章于 2025-03-15 06:55:35 发布
最新推荐文章于 2025-03-15 06:55:35 发布
阅读量2.9k 收藏 8
点赞数 1
分类专栏: HTTP 文章标签: 接口加密 校验 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36696616/article/details/99635981
版权

最近,公司有一些接口需要对合作方开放,需要做参数加密以及合作方身份认证,下面是我的做法:

思想:因为部分接口需要加密,所以通过自定义注解,加上注解的接口才进行校验。
我们会为合作方下发 partnerId 和 privateKey ,客户端和服务端保留这两个信息。
加密方式:

项目加密方式
1,必须提交的参数
POST提交
signature: 签名 //必填
partnerId: 合作者ID //必填
timestamp : 调用接口时的时间戳 单位秒 如 1489660879 //必填
业务参数
2,签名生成规则
将参数(业务参数+partnerId+timestamp+privateKey)按照A-Z的顺序排序后按照KEY=VALUE的方式连接成字符串。
如aa=2323operator=ltpageIndex=1pageSize=10partnerId=6079410844privateKey=4EUJ7HEV8UEEFS5A0dxgtimestamp=1565235925
然后将该字符串MD5后截取3-28位后用sha1加密
sha1(substr(md5(aa=2323operator=ltpageIndex=1pageSize=10partnerId=6079410844privateKey=4EUJ7HEV8UEEFS5A0dxgtimestamp=1565235925),3,28))
以上参数
timestamp可以有效防止别人抓包进去模拟请求,或者脚本批量执行已经出现的请求
signature可以防止别人调用自己的api
privateKey作为秘钥,不允许在网络上传递
partnerId作为合作者唯一标识

具体验证代码如下:

package com.haoma.number.encrypt;


import com.google.common.collect.Lists;
import com.haoma.api.number.entity.auth.AuthUserEntity;
import com.haoma.number.service.auth.IAuthUserService;
import org.apache.commons.lang.StringUtils;
import org.apache.commons.lang.math.NumberUtils;

import java.util.Collections;
import java.util.List;
import java.util.Map;


/**
 * @ClassName WebSignature
 * @Description: 调用接口进行验证签名
 * @Author yanbo
 * @Date 2019/8/7 15:19
 **/
public class WebSignature {


    /**
     * 进行验签看用户是否合法、参数是否合法、是否超时
     *
     * @param signature 客户端签名后的值
     * @param appId     即:下发给第三方调用者的唯一表示
     * @param timestamp 时间戳 -秒级
     * @return 合法返回空字符;否则返回错误原因
     */
    @SuppressWarnings("unchecked")
    public static String signature(String signature, String partnerId, IAuthUserService authUserService, String timestamp,
                                   Map<String, String[]> params) {
        String errorMsg = "";
        if (StringUtils.isBlank(signature)) {
            errorMsg = "auth signature blank error";
            return errorMsg;
        }
        if (StringUtils.isBlank(partnerId)) {
            errorMsg = "auth partnerId blank error";
            return errorMsg;
        }
        if (StringUtils.isBlank(timestamp)) {
            errorMsg = "auth timestamp blank error";
            return errorMsg;
        }
        if (timestamp.trim().length() != 10) {
            errorMsg = "auth timestamp length error,unit min ";
            return errorMsg;
        }
        //时间校验,前后最多差4min
        long curSeconds = System.currentTimeMillis() / 1000;
        Long minMillisDiff = (curSeconds -
                NumberUtils.toLong(timestamp, curSeconds)) * 1000;
        if (minMillisDiff > 4 * 60 * 1000 || minMillisDiff < -4 * 60 * 1000) {
            errorMsg = "auth timestamp fail !";
            return errorMsg;
        }
        //校验partnerId合法性
        AuthUserEntity authUserEntity = authUserService.findByPartnerId(partnerId);
        if (authUserEntity == null) {
            errorMsg = "partnerId is invalid!";
            return errorMsg;
        }
        params.remove("signature");
        params.put("privateKey", new String[]{authUserEntity.getPrivateKey()});
        //1:排序
        List<String> keys = Lists.newArrayList(params.keySet());
        Collections.sort(keys, String::compareTo);
        //2:拼接
        String keyValues = "";
        for (int i = 0; i < keys.size(); ++i) {
            String key = keys.get(i);
            String[] val = params.get(key);
            if (val.length > 0) {
                keyValues = keyValues + (key + "=" + StringUtils.join(Lists.newArrayList(val), ","));
            } else {
                keyValues = keyValues + (key + "=");
            }
        }
        //3.加密  按字母顺序排序后格式如下 取3-28位
        //signature = sha1(substr(md5(adf=123123bb=56863passwd=123123privateKey=pikb25cc12ee8e677418c738460b05timestamp=1489659289180uname=yanboparam5=sadfasdf),3,28))
        String serverSignature = DesUtil.SHA1(DesUtil.getMd5(keyValues).substring(3, 28));
        if (!signature.equalsIgnoreCase(serverSignature)) {
            errorMsg = "auth signature fail !";
        }
        return errorMsg;
    }



}

自定义注解类:

package com.haoma.util.annotation;

import java.lang.annotation.*;

/**
 * @ClassName MustAuthToken
 * @Description: 需要authToken验证
 * @Author yanbo
 * @Date 2019/8/6 15:19
 **/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface SignatureAuth {


}

拦截器:

package com.haoma.number.interceptor;

import com.alibaba.fastjson.JSON;
import com.haoma.api.util.bo.ResultBo;
import com.haoma.number.encrypt.WebSignature;
import com.haoma.number.service.auth.IAuthUserService;
import com.haoma.util.annotation.SignatureAuth;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

/**
 * @author yanbo
 * @ClassName: AuthSignInterceptor
 * @Description: 进行验签看用户是否合法、参数是否合法、是否超时
 * @date 2019年8月8日 下午5:08:48
 */
@Component
public class AuthSignInterceptor extends HandlerInterceptorAdapter {

    private static Logger logger = LoggerFactory.getLogger(AuthSignInterceptor.class);

    @Autowired
    private IAuthUserService authUserService;


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        SignatureAuth signatureAuth;
        if (handler instanceof HandlerMethod) {
            signatureAuth = ((HandlerMethod) handler).getMethodAnnotation(SignatureAuth.class);
        } else {
            return true;
        }

        //1:加密校验
        if (signatureAuth != null) {
            logger.trace("=======preHandle=======" + request.getRequestURI());
            String signature = request.getParameter("signature");
            String partnerId = request.getParameter("partnerId");
            String timestamp = request.getParameter("timestamp");
            String requestUrl = request.getRequestURI();
            logger.info("请求地址:" + requestUrl);
            Map<String, String[]> params = request.getParameterMap();
            String errorMsg;
            if (StringUtils.isNotEmpty(errorMsg = WebSignature.signature(signature, partnerId, authUserService, timestamp, params))) {
                ResultBo result = ResultBo.error(errorMsg);
                //要加这个否则服务器返回的不是json,有的浏览器还乱码
                //response.setContentType(ServletUtils.JSON_TYPE);
                response.getWriter().println(JSON.toJSONString(result));
                response.getWriter().flush();
                response.getWriter().close();
                return false;
            }
        }
        // 只有返回true才会继续向下执行,返回false取消当前请求
        return true;
    }
}

拦截器生效:

@Configuration
public class NumberWebConfig implements WebMvcConfigurer {
    private final AuthSignInterceptor authSignInterceptor;

    @Autowired
    public NumberWebConfig( AuthSignInterceptor authSignInterceptor) {
        this.authSignInterceptor = authSignInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //参数校验拦截器
        InterceptorRegistration authSign = registry.addInterceptor(authSignInterceptor);
        authSign.addPathPatterns("/**");
    }

}

加密工具方法

package com.haoma.number.encrypt;


import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class DesUtil {

  public static String getMd5(String text) {
      try {
          char[] hexDigits = {'0', '1', '2', '3', '4', '5', '6', '7', '8',
                  '9', 'a', 'b', 'c', 'd', 'e', 'f'};
          MessageDigest md = MessageDigest.getInstance("md5");
          md.update(text.getBytes("UTF-8"));

          byte[] bytes = md.digest();
          int j = bytes.length;
          char[] c = new char[j * 2];
          int k = 0;

          for (int i = 0; i < j; i++) {
              byte b = bytes[i];
              c[k++] = hexDigits[b >>> 4 & 0xf];
              c[k++] = hexDigits[b & 0xf];
          }

          return new String(c);
      } catch (Exception ex) {
          throw new IllegalStateException(ex);
      }
  }

  //SHA1 加密算法
  public static String SHA1(String decript) {
      try {
          MessageDigest digest = MessageDigest
                  .getInstance("SHA-1");
          digest.update(decript.getBytes());
          byte messageDigest[] = digest.digest();
          // Create Hex String
          StringBuffer hexString = new StringBuffer();
          // 字节数组转换为 十六进制 数
          for (int i = 0; i < messageDigest.length; i++) {
              String shaHex = Integer.toHexString(messageDigest[i] & 0xFF);
              if (shaHex.length() < 2) {
                  hexString.append(0);
              }
              hexString.append(shaHex);
          }
          return hexString.toString();

      } catch (NoSuchAlgorithmException e) {
          e.printStackTrace();
      }
      return "";
  }


}
一个基于 Java 接口参数加密框架,让接口参数加密变得简单、优雅!
一碗清深的博客
08-13 674
SecurityApi 是一个基于 Java 接口参数加密框架,可以让请求参数解密,响应参数加密,目前支持AES、RSA加密模式,RSA采用分段加密的方式。
jmeter中参数加密
python自动化
03-25 1563
加密接口常用的方式有:RSA压测中有些参数需要进行加密加密方式已接口文档为主。
Api接口加密策略
weixin_33877885的博客
12-19 3042
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
接口加密方法(实际上也就是参数加密
积累点滴、持续总结、进而成长
05-17 4321
接口加密听起来高大上  ,然而实际上确实将需要传递的参数 与特定的标识key以及其他的固定的属性来组合成一个字符串或者集合传递给对方 对方再通过特定的key特定的属性去解密传过来的字符串或者集合,从而获取传过来的参数或者结果集 这里重要的便是 这些固定的key或者属性是不能够泄密的 废话少说 ,上代码供看管审查: 项目传递参数的时候类型大多数都是以map 或
接口测试中加密参数如何处理?
最新发布
海姐软件测试的博客
03-15 685
通过Pre-request Script自动处理加密(需编写JS脚本)。:使用BeanShell或JSR223调用Java代码实现加解密。:使用Charles/Fiddler抓包,分析加密前后的数据格式。与开发协商提供测试环境的固定密钥,或使用Mock接口绕过加密。:将加解密函数写入测试框架的公共模块,减少重复代码。使用开发提供的公钥加密请求参数,私钥解密响应。:记录加密规则和密钥管理规范,避免团队信息差。:灵活集成加解密逻辑,适合自动化测试框架。:加密解密使用同一密钥。:公钥加密,私钥解密。
API 接口加密及请求参数加密
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
如何优雅的实现 Spring Boot 接口参数加密解密?
江南一点雨的专栏
03-09 6025
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应加解密的思路。 分享 ResponseBodyA
Java:接口参数加密
ql_gome的博客
08-21 1184
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档加密原理:生成一个随机串,用该随机串对请求参数进行非对称加密,然后再对该随机串进行对称加密,生成签名和验签过程中,对参数进行了排序。
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密是指在传输接口调用时,对请求参数进行加密,以防止数据在传输过程中被窃取或篡改。常见的加密算法有AES(高级加密标准)、RSA(公钥加密技术)和HMAC(哈希消息认证码)。通过加密,即使数据在网络中被...
java接口 参数MD5加密.zip
06-19
综上所述,这个压缩包提供了完整的接口参数MD5加密的实现,包括加密工具、参数校验、错误码管理和示例接口,对于开发安全、可靠的网络服务具有重要参考价值。开发者可以基于这些工具类和接口设计自己的加密策略,以...
vue接口请求加密实例
10-14
主要介绍了vue接口请求加密实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
http 参数加密工具
12-27
可以用来参数加密 前端加密 后端解密
如何写出安全的API接口参数加密+超时处理+私钥验证+Https)- 续(附demo)
dengcu1321的博客
12-14 1031
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出。 对于安全也是相对的,下面我来根据安全级别分析 1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。 实话说,这...
软件测试笔记|接口测试|如果接口的请求参数需要加密处理,你们使用的是什么加密方式?你是如何处理加密的?
阳哥精心梳理软件测试知识,从基础理论到实战技巧,为你打开软件测试的精彩世界,助力你的测试之路更顺畅
10-09 610
• 首先确定加密密钥(key)和初始向量(IV,在某些模式下需要)。在发送请求前,使用加密库(如Python中的PyCryptodome库)将请求参数进行AES加密。• 通常会有公钥和私钥对。在发送端,使用公钥对请求参数进行加密。在实际处理中,需要根据接口的安全需求、性能要求等因素来选择合适的加密方式,并确保加密密钥的安全存储和管理。• 然后将加密后的参数作为请求内容发送。在接收端,使用相同的密钥和初始向量进行解密操作。• 在接收端则使用私钥进行解密。
Spring 接口参数加密传输
weixin_30616969的博客
06-11 221
加密方式 AES spring jar 包 pom.xml配置(注意版本) <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> ...
如何设计一个牛逼的API接口
weixin_44747933的博客
09-22 755
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章...
测试老鸟整理,Postman加密接口测试-Rsa/Aes对参数加密(详细总结)
分享测试知识
11-06 3849
一些问题postman 有内置加密Api,但不支持RSA加解密码。(引入其他的js文件至环境变量,利用eval 函数进行解析,还可以利用request获取,将其保存至全局变量中)postman 中 request对象属性皆为只读,如何把提交时的明文变为密文?(前置脚本)实现目标在测试登录接口时,针对登录接口需要用到的 username、password进行加密加密方式分别为 rsa、aes ),再将加密后的数据传输给后端。方法都是相似的,知道如何加密,其他的接口和字段都是差不多的实现方式。
参数加密/解密
if_else1的博客
06-04 1345
依赖 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.3.7</version> </dependency> import cn.hutool.crypto.SecureUtil; import cn.hutool.crypto.symmetric.AES;
url中的参数加密
热门推荐
suxiao的博客
04-17 2万+
有时候我们需要在地址栏传输一些信息,比如查询数据的时候,传一个参数location.href = "/admin/extract?name="+"参数aaa"’但是我们直接这样传输会有一些问题,我们通常会进行加密,下面介绍一个很简单的加密方式,先把文档地址放上crypto-js 我们首先在页面中引入js,<script type="text/javascript" src="/js/tools/c
vue3使用AES前端接口参数加密
10-11
Vue3中使用AES对前端接口参数进行加密通常涉及到以下几个步骤: 1. **安装库**: 首先需要安装一个JavaScript的加解密库,如`crypto-js`,它包含了AES(高级加密标准)算法。 ```bash npm install crypto-js ``` 2. **导入并实例化**: 导入`CryptoJS.AES`并创建一个新的AES加密对象。 ```javascript import AES from 'crypto-js/aes'; const aes = AES.createEncryptor('your_secret_key', 'CBC'); ``` `your_secret_key`应是你设置的一个密钥,对于生产环境建议使用环境变量管理,避免直接暴露。 3. **加密数据**: 对需要发送的数据进行加密,例如明文`dataToEncrypt`。 ```javascript let encryptedData = aes.encrypt(JSON.stringify(dataToEncrypt), 'salt'); ``` 这里添加的'salt'(随机盐值)可以增加加密的安全性。 4. **编码base64**: 将加密后的二进制数据转换为Base64字符串,以便于传输。 ```javascript let encodedData = btoa(encryptedData.toString(CryptoJS.enc.Utf8)); ``` 5. **在请求头或URL中发送**: 现在你可以将`encodedData`添加到API请求的headers或URL中作为加密参数。 6. **后端解密**: 后端接收到数据后,同样需要使用相同的秘钥、模式(CBC)和盐值解密数据。 ```javascript // 假设后端已接收并处理了Base64解码的字符串 const decodedData = atob(encodedData); const decryptedData = aes.decrypt(decodedData, 'secret_key'); const decryptedJSON = CryptoJS.enc.Utf8.parse(decryptedData).toString(); ``` **注意事项**: - 加密过程应在服务器端完成,因为客户端容易被破解,而且敏感信息不应暴露在HTTP请求中。 - 使用相同的密钥和模式(CBC),确保前后端保持一致。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值