sign签名(from表单格式)

已于 2022-06-05 11:46:28 修改
阅读量6k 收藏 23
点赞数 7
CC 4.0 BY-SA版权
分类专栏: java 前端 文章标签: sign签名
于 2019-04-28 13:30:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39554240/article/details/89636309
本文详细介绍了在接口开发中如何保障安全性,重点讲解了使用sign签名进行安全验证的方法。文章解释了sign签名的生成过程,包括参数排序、连接、加密等步骤,并提供了代码示例。同时,文中还涉及了sign签名的验证流程,包括参数检查、时间戳校验等关键环节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做接口开发首先需要注意的是接口的安全性,接口的安全性可以用Https来做或者直接在服务器层面设置ip白名单,我用的是sign签名来确保接口的安全性。
sign签名是根据用户请求的参数和值(不包括sign),结合分配给客户端的秘钥(securityKey),通过算法生成的签名。在算签名时,首先要按照每组的key=value的字母顺序做排序(升序降序自己拿主意),然后对key和vaule(使用utf-8编码,特别注意包含中文的参数值的编码)连接成没有等于号的字符串;然后在最后加上客户端的秘钥(securityKey)然后通过算法生成签名。
在此需要注意,前端必传的字段有:
appkey(String类型,必填,调用者第三方公钥)
timeStamp(String类型,必填,当前时间戳 格式(自己拿主意,只要前后端一致就行))
sign(String类型,必填,(参数+必传参数+私钥(securityKey,))的算法加密串)
假如参数有:
String appkey=“abcd”
String timeStamp=“20190422125727”
String aaa=“aaa”
String bbb=“bbb”
该客户端的秘钥是securityKey=1234567890
按照key=value升序排序是
aaa=aaaappkey=abcdbbb=bbbtimeStamp=20190422125727
连接成没有等于号的字符串
aaaaaaappkeyabcdbbbbbbtimeStamp20190422125727
拼接客户端秘钥
aaaaaaappkeyabcdbbbbbbtimeStamp201904221257271234567890
然后使用加密算法加密
sign=(aaaaaaappkeyabcdbbbbbbtimeStamp201904221257271234567890)加密后的串
在贴代码之前需要和大家说的问题是,post请求获取参数是可能是form表单格式或者是json格式,不同的格式获取参数的方式也是不同的,这一片博文先用post请求的form表单格式写,下一篇博文再介绍json格式。

/**
     * @param httpServletRequest
     * @param httpServletResponse
     * @return void
     * @Description: 验证sign签名
     * @Author Zangdy
     * @CreateTime 2019/4/22 12:57
     */
    private boolean verifySign(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws IOException {
        // 签名
        String appKey = httpServletRequest.getParameter("appKey");
        String timeStamp = httpServletRequest.getParameter("timeStamp");
        String sign = httpServletRequest.getParameter("sign");
        // 判断参数是否为空
        if (StringUtils.isBlank(appKey) || StringUtils.isBlank(timeStamp) || StringUtils.isBlank(sign)) {
            DyTool.responseWriter(StatusEnum.APPTIMESIGNISNULL, httpServletResponse);  // (工具类)
            return false;
        } else {
            StringBuilder signSb = new StringBuilder();
            // 获取url里的请求参数
            Map<String, String[]> parameterMap = httpServletRequest.getParameterMap();
            for (String paraName : parameterMap.keySet()) {
                if (!"sign".equals(paraName)) {   // 拼接参数
                    signSb.append(paraName).append("=").append(parameterMap.get(paraName)[0]).append("&");
                }
            }
            String signNew = signSb.substring(0, signSb.length() - 1); // 获取拼接后的参数
            String[] signArr = signNew.split("&");
            Arrays.sort(signArr);  // 将参数排序
            signNew = DyTool.arrToString(signArr);  // (工具类)数组转字符串
            signNew = signNew.replace("=", "");
            signNew += securityKeyLocal;  // 拼接securityKey
            if (!sign.equals(SecuritySHATool.shaEncrypt(signNew))) {
                DyTool.responseWriter(StatusEnum.SIGNUNTRUE, httpServletResponse);  // (工具类)
                return false;
            }
            long time = new Date().getTime();  // 获取当前时间毫秒值
            try {
            //DyTool.timeStampToDateTime  工具类,将yyyyMMddHHmmss转成毫秒值
                if ((time - DyTool.timeStampToDateTime(timeStamp)) > (1000 * 60 * 5)) { // 一次请求签名在五分钟内
                    DyTool.responseWriter(StatusEnum.SIGNOUTTIME, httpServletResponse); // (工具类)
                    return false;
                }
            } catch (ParseException e) {
                e.printStackTrace();
            }
        }
        return true;
    } 

        /**
     * @param timeStamp  yyyyMMddHHmmss格式时间戳
     * @return java.lang.Long
     * @Description: 将时间戳转为毫秒值   yyyyMMddHHmmss
     * @Author Zangdy
     * @CreateTime 2019/4/22 11:42
     */
    public static Long timeStampToDateTime(String timeStamp) throws ParseException {
        SimpleDateFormat sdf = new SimpleDateFormat("yyyyMMddHHmmss");
        return sdf.parse(timeStamp).getTime();
    }
    /**
     * @param statusEnum  状态枚举类
     * @param response
     * @return java.lang.String
     * @Description: 发生错误时响应给请求者, 拦截器过滤器层面,需要HttpServletResponse
     * @Author Zangdy
     * @CreateTime 2019/4/22 11:09
     */
    public static void responseWriter(StatusEnum statusEnum, HttpServletResponse response) throws IOException {
        ResponseBody responseBody = new ResponseBody();
        responseBody.setStatus(statusEnum.getStatus());
        responseBody.setMessage(statusEnum.getMessage());
        response.setContentType("text/html; charset=UTF-8");
        response.getWriter().write(JSONObject.toJSONString(responseBody));
    }

/**
 * @Description:  状态枚举类
 * @Author: 臧东运
 * @CreateTime: 2019/4/22 10:53
 */
public enum  StatusEnum {

    UNLOGIN("0000","未登录"),

    /**
     * 状态 02 开头为成功
     * */
    LOGINSUCCESS("0201","登陆成功"),
    LOGOUTSUCCESS("0202","注销成功"),
    UPLOADSUCCESS("0203","文件上传成功"),


    /**
     * 状态 04 开头为失败
     */
    IPBLOCKED("0400","因非法请求,已被禁止访问,请稍后重试!"),
    ACCESSDENIED("0401","无权限访问"),
    USERNAMEISNULL("0402","用户名不能为空!"),
    PASSWORDISNULL("0402","密码不能为空!"),
    USERNAMEERROR("0402","用户名错误!"),
    PASSWORDERROR("0402","密码错误!"),
    NOHEADER("0403","缺少头信息"),
    TOKENOUTTIME("0404","token认证已过期"),
    APPTIMESIGNISNULL("0405","sign认证参数为空"),
    SIGNUNTRUE("0406","sign参数不正确"),
    SIGNOUTTIME("0407","sign签名已过期"),

    ERROR("0499","服务器异常,请稍后重试。如有问题,请联系管理员"),
    CUSTOM("0500","自定义异常");

    private String status;
    private String message;

    StatusEnum(String status, String message) {
        this.status = status;
        this.message = message;
    }

    public String getStatus() {
        return status;
    }

    public void setStatus(String status) {
        this.status = status;
    }

    public String getMessage() {
        return message;
    }

    public void setMessage(String message) {
        this.message = message;
    }
}


/**
 * @Description:  加密算法工具类
 * @Author: 臧东运
 * @CreateTime: 2019/4/22 14:10
 */
public class SecuritySHATool {
    public static final String KEY_SHA = "SHA";
    public static final String KEY_MD5 = "MD5";


    /**
     * MD5加密字节
     *
     * @param data
     * @return
     * @throws Exception
     */
    public static byte[] encryptMD5(byte[] data) throws Exception {
        MessageDigest md5 = MessageDigest.getInstance(KEY_MD5);
        md5.update(data);
        return md5.digest();

    }

    /**
     * SHA加密字节
     *
     * @param data
     * @return
     * @throws Exception
     */
    public static byte[] encryptSHA(byte[] data) throws Exception {
        MessageDigest sha = MessageDigest.getInstance(KEY_SHA);
        sha.update(data);
        return sha.digest();
    }


    /**
     * SHA加密
     *
     * @param inputStr
     * @return
     */
    public static String shaEncrypt(String inputStr) {
        byte[] inputData = inputStr.getBytes();
        String returnString = "";
        try {
            inputData = encryptSHA(inputData);
            for (int i = 0; i < inputData.length; i++) {
                returnString += byteToHexString(inputData[i]);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return returnString;
    }


    private static String byteToHexString(byte ib) {
        char[] Digit = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a',
                'b', 'c', 'd', 'e', 'f'};
        char[] ob = new char[2];
        ob[0] = Digit[(ib >>> 4) & 0X0F];
        ob[1] = Digit[ib & 0X0F];
        String s = new String(ob);
        return s;
    }

    /**
     * MD5加密
     *
     * @param inputStr
     * @return
     */
    public static String md5Encrypt(String inputStr) {
        byte[] inputData = inputStr.getBytes();
        String returnString = "";
        try {
            BigInteger md5 = new BigInteger(encryptMD5(inputData));
            returnString = md5.toString(16);

        } catch (Exception e) {
            e.printStackTrace();
        }

        return returnString;
    }

    public static String dataDecrypt(Map<String, Object> serviceParams) {
        StringBuilder sb = new StringBuilder();
        Object[] keys = serviceParams.keySet().toArray();
        Arrays.sort(keys);
        for (Object key : keys) {
            sb.append(key).append(serviceParams.get(key));
        }
        return sb.toString();
    }

    public static void main(String[] args) {
        System.out.println(shaEncrypt("username111password111"));
        System.out.println(md5Encrypt("111"));
    }

如果发现什么问题请留言,毕竟代码都是人写的难免会出错。

签名验证反爬,反反爬第二篇博客,Python爬虫120例
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
12-02 2万+
本篇博客继续为大家带来爬虫反爬技术学习,签名验证。 在上一篇博客,咱们学习的反爬验证信息,是存储在 请求头域 中的信息,签名验证一般在请求体(请求正文)中,服务器接收到对应的字段,并对其来源和合理性进行验证,然后判断是否返回正确数据。 如何判断签名验证 关键字 sign,一般在请求中发现有这个参数,或者与其相关的参数,都可以猜测其为签名验证,即服务器端验证该参数传递到后台的值的合法性,决定是否返回结果。
签名优化:请求数据类型不是`application/json`,将只对随机数进行签名计算,例如文件上传接口。
专注于计算机研发知识和资讯分享
07-18 1294
背景:文件上传接口的请求数据类型通常为,方便携带文本域和使用接口文档进行调试。如果携带JSON数据,不方便调试接口。
sign签名工具
06-01
汉化工具,可参考教程http://blog.youkuaiyun.com/monkey_z_/article/details/51553561
sign签名
wbryze的博客
06-16 1129
本文章向大家介绍使用sign签名发送请求,主要包括使用sign签名发送请求使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。import CryptoJS from “crypto-js”; import urlencode from “urlencode”; methods:{ async initUser () { try { const url = “/api/info/self”; let _param = { uid: this.uid, utoken:
Sign签名
t194978的博客
12-16 2865
Sign签名和token口令 - 卡尔·马克思 - 博客园】https://www.cnblogs.com/Karl-H/p/14621348.html
sign签名管理
yanhaijunyan的博客
10-16 402
1.自动管理 2.手工管理
前端生成sign签名
热门推荐
qq_39554240的博客
04-28 1万+
接着上一篇博文写写前端如何生成sign签名,此处生成的签名和前两篇的(sign签名)中验证是一致的,可以对比使用。使用方式在上一篇(vue中post请求使用form表单格式发送数据)中使用过,可参考 function getSign(param) { // 获取签名 返回一个包含"?“的参数串 var appKey = “sbkjCarWebBEIJING”; var securityKey......
《JeecgBoot系列》JeecgBoot开发问题记录
https://blog.datasource.space
08-06 2883
1.JeecgBoot下拉搜索多选失败:报Sign签名校验失败; 2.Online表单生成代码失败处理; 3.测试接口异常Parameter 'lists' not found. Available parameters are [names, param1];
18、数字签名及其加密解密应用开发指南
最新发布
opencv7vision的博客
07-19 5
本文详细介绍了一个基于Visual Basic开发的消息处理工具,通过调用Crypt32.dll库实现数字签名、验证、加密和解密功能。涵盖了证书的检索与管理、消息处理流程、表单设计与实现等内容,并提供了完整的代码示例及调用关系分析。
Python的Flask框架中web表单的教程
09-22
`SECRET_KEY`用于为CSRF令牌签名,确保令牌的安全性。必须保证它足够复杂,不可被轻易猜测。 ### 创建Flask应用 在Flask中创建应用首先需要从Flask模块导入Flask类,实例化,并从对象中加载配置。 ```python # ...
表单手写签章控件正式版
04-21
表单手写签章控件正式版,我现在用着哪,有什么问题的话需要自己解决
微信公众号前端签名算法sign.js
04-26
需要微信公众号签名算法的可以在这里下载下来,sign.js,使用方法已经在我博客里面提及到,敬请下载
HTML-SIGN-IN-FORM:具有HTML和CSS的简单响应式登录表单
04-10
HTML登录表单 具有HTML和CSS的简单响应式登录表单
签名表单Signed Form 开源项目指南
gitblog_00492的博客
08-26 441
签名表单Signed Form 开源项目指南 本指南旨在详尽介绍如何理解和运用 signed_form 这一RubyGem,该gem专为Rails应用设计,以增强表单提交的安全性。通过以下三个关键部分,我们将深入探索其结构、核心组件及其配置方法。 1. 项目目录结构及介绍 signed_form 虽然作为RubyGem发布,其GitHub仓库提供的是开发和贡献时的源代码视图。标准的RubyGem...
sign签名发送
suiyuaneranLucy的博客
09-08 377
本文章向大家介绍使用sign签名发送请求,主要包括使用sign签名发送请求使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
签名 html5,在HTML5表单中使用涂写签名
weixin_32586767的博客
06-25 522
在HTML5表单中使用涂写签名HTML5表单在触屏设备上的使用越来越多,一种常见要求是支持签名。 划线(用手写笔或手指书写)正成为在移动设备上签署表格的一种可接受方式。 HTML5表单和Forms Designer现在允许在表单上使用涂写签名字段的选项。 在浏览器中呈现表单后,您可以使用手写笔、鼠标或触摸在这些字段上登录。如何使用潦草签名字段设计表单在Forms Designer中打开表单。将签名...
小程序实现表单签名效果
weixin_44988028的博客
03-17 491
1.签名页 1.1 html <view class="cont cont02" hidden="{{istanc}}"> <view class="weui-cells__title">签名区</view> <view class="weui-cells weui-cells_radio" style="padding:0 20rpx;text-align: center;"> <templat.
前端 sign参数验签
weixin_43990297的博客
09-03 2271
签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ◆ 参数名区分大小写; ◆ 接口可能增加字段,验证签名时必须支持增加的扩展字段 第二步,在stringA最后拼接上key得到stringSignTe
Sign签名计算、验签实例(对外提供接口)
weixin_41037842的博客
04-12 6475
对外提供接口签名sign计算、验签实例一、简述二、签名设计及计算过程三、UML图四、代码实例 一、简述 1、对外提供接口,为保护参数不被修改,保护数据的安全性,需要在客户端调用时接口添加签名、服务端对接口进行验签; 2、本实例中authKey是不参与通信,整个过程中authKey是不参与通信的,所以只要保证authKey不泄露,即使请求参数被其他原因泄露,请求也不会被伪造。 二、签名设计及计算过程 1.己方系统提供 clientId: 由于己方系统可能会对外不同角色方提供接口(第三方系统app、第三方系统P
如何使用PyHanko在PDF文件上添加带有特定位置的签名
10-09
如果你已经有了一个签名证书(`.pem`或`.cer`格式),可以通过`pyhanko.sign.signers.PKCS12Signer`或`pyhanko.sign.signers.CertificateSigner`来创建。确保提供正确的私钥和证书信息。 4. **创建签名对象**: ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值