三方对接接口数据安全问题

已于 2023-02-08 11:31:38 修改
阅读量677 收藏 5
点赞数
文章标签: java 安全 spring 设计规范
于 2022-07-29 17:43:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40264499/article/details/126060450
版权

文档说明

小记一下在与第三方对接过程的一些操作

对接流程

在这里插入图片描述

数据传输

每次请求均会对请求来源以及数据的合法性进行校验,采取以下策略,之后接口明细中会说明采用哪种加密方式

获取 Token

请求地址: POST https:xxxx
接口说明:获取调用凭据,有效期 24h、获取后之后调用接口添加到请求头 Authorization

请求参数
字段数据类型是否必传说明示例
app_idString客户端IDthirdpartner
app_secretString客户端密钥@m2!2q15^#0d&@
响应参数
字段说明示例
code响应状态码200
msg响应描述信息请求成功
data响应体eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQ…

常规数据加密

常规数据加密,每次请求数据添加随机字符串 once_str 和时间戳 timestamp 并通过 MD5 对全部数据进行加密、接收方对其进行校验证,示例如下

public class EncryptSign {

    public static final String APP_ID 	  = "thirdpartner";
    public static final String APP_SECRET = "@m*2!2q1*5^#0d&@";

    // 生成签名
    public static String createSign(SortedMap<String, String> params) {
        return params.keySet().stream()
                .sorted()
                .map(k -> k + "=" + params.get(k) + "&")
                .reduce((x, y) -> x + y)
                .map(d -> d.substring(0, d.length() - 1))
                .map(d -> d.concat(APP_SECRET))
                .map(EncryptSign::encode)
                .map(String::toUpperCase)
                .get();
    }

    public static boolean verifySign(HttpServletRequest request) {
        Map<String, String[]> params = request.getParameterMap();
        SortedMap<String, String> map = new TreeMap<>();
        String expSign = null;
        for (Map.Entry<String, String[]> pv : params.entrySet()) {
            String param = pv.getKey();
            String[] value = pv.getValue();
            if (!param.equals("sign")) {
                map.put(param, value[0]);
            } else {
                expSign = value[0];
            }
        }
        return expSign.equals(createSign(map));
    }

    public static String generateOnceStr() {
        return UUID.randomUUID().toString().replaceAll("-", "");
    }

    public static String encode(String value) {
        StringBuilder sb = new StringBuilder();
        try {
            MessageDigest md = MessageDigest.getInstance(MD5);
            byte[] bs = value.getBytes();
            byte[] mb = md.digest(bs);
            for (int i = 0; i < mb.length; i++) {
                int v = mb[i] & 0xFF;
                if (v < 16) {
                    sb.append("0");
                }
                sb.append(Integer.toHexString(v));
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return sb.toString();
    }

    public static void main(String[] args) {
        //创建随机字符串和时间戳
        String once_str = generateOnceStr();
        String timestamp = String.valueOf(System.currentTimeMillis());
        //测试数据集
        SortedMap<String, String> params = new TreeMap<>();
        params.put("param1", "a");
        params.put("param2", "b");
        params.put("once_str", once_str);
        params.put("timestamp", timestamp);
        //常规数据加密
        params.put("sign", createSign(params));
        System.out.println(params);
    }
}
调用示例
Map<String, String> map = new HashMap<>();
// 业务参数
map.put("app_id", "xxxx");
map.put("app_secret", "xxxx");
// 公共参数
map.put("once_str", EncryptSign.generateOnceStr());
map.put("timestamp", String.valueOf(System.currentTimeMillis()));
// MD5 加密
map.put("sign", EncryptSign.createSign(map));
// Http 调用
String url = "http://xxx/xx/xx";
String result = HttpClientUtil.httpPost(url, map);
System.out.println(result);

敏感数据加密

涉及敏感数据,采用 AES 进行加解密,注意妥善保管密钥,示例如下

public class EncryptAES {

    private static final String secret    = "@5^22&%c*9^283*@";
    private static final String algorithm = "AES/ECB/PKCS5Padding";

    //加密
    public static String encrypt(String content) {
        try {
            Security.addProvider(new SunJCE());
            Cipher cipher = Cipher.getInstance(algorithm);
            cipher.init(ENCRYPT_MODE, new SecretKeySpec(secret.getBytes(), AES));
            return Base64.getEncoder().encodeToString(cipher.doFinal(content.getBytes("UTF-8")));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    //解密
    public static String decrypt(String encrypt) {
        try {
            Security.addProvider(new SunJCE());
            Cipher cipher = Cipher.getInstance(algorithm);
            cipher.init(DECRYPT_MODE, new SecretKeySpec(secret.getBytes("UTF-8"), AES));
            return new String(cipher.doFinal(Base64.getDecoder().decode(encrypt)));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    public static void main(String[] args) {
        //创建随机字符串和时间戳
        String once_str = EncryptSign.generateOnceStr();
        String timestamp = String.valueOf(System.currentTimeMillis());
        //测试数据集
        SortedMap<String, String> params = new TreeMap<>();
        params.put("param1", "a");
        params.put("param2", "b");
        params.put("once_str", once_str);
        params.put("timestamp", timestamp);

        String content = JSON.toJSONString(params);
        System.out.println("明文: " + content);
        System.out.println("加密: " + encrypt(content));
        System.out.println("解密: " + decrypt(encrypt(content)));
    }
}
调用示例
Map<String, String> map = new HashMap<>();
// 业务参数
map.put("app_id", "xxxx");
map.put("app_secret", "xxxx");
// 公共参数
map.put("once_str", EncryptSign.generateOnceStr());
map.put("timestamp", String.valueOf(System.currentTimeMillis()));
// AES加密参数封装到 sign 字段
Map<String, String> param = new HashMap<>();
param.put("sign", EncryptAES.encrypt(toJSONString(map));
// Http 调用
String url = "http://xxx/xx/xx";
String result = HttpClientUtil.httpPost(url, param);
System.out.println(result);
zhangyu丶
关注
如何对接三方接口(建议收藏)
技术分享
06-02 177
如何对接三方接口,建议收藏!
三方接口对接-微信小程序登录
b1ngbing1的博客
06-30 4290
新增类CustomerUserController/*** * 用户管理*/@Slf4j@Api(tags = "客户管理")@Autowired/*** C端用户登录--微信登录* @param userLoginRequestDto 用户登录信息* @return 登录结果*/@ApiOperation("小程序端登录")接收参数类型UserLoginRequestDto/*** C端用户登录*/@Data@ApiModelProperty("昵称")
数据对接中的安全性保证及接口设计
数据的启示
09-14 7420
主要分为三个方面: 1. 数据传输加密 目前普遍采用SSL协议中相关算法进行传输层的加密,通常是对称的摘要算法(配合证书通过https进行数据对接),或者使用VPN(IPSEC VPN、SSL VPN、MPLS VPN)进行传输甚至专用电路MSTP。 2. 身份认证 目前普遍采用数字证书技术进行身份认证,数字证书具体又可以分为第三方证书和自签名的证书。认证方法又可以分为单向认证和双
前后端接口调用,第三方接口调用如何保证数据的安全
Rootone的博客
06-22 5209
在实际的工作中,对 三种情况汇总为两种校验方式进行论述: 一、公司内部的接口 公司内部的接口,当然是涉及到比较隐秘信息的时候,调用方需要持有一个私钥,调用的时候将传入的参数通过私钥进行的加密,若加密后的内容能够被公钥解密,那么则能够通过。 二、调用三方接口 1.通信使用https 2.请求签名,防止参数被篡改 ...
三方数据接入流程
Mikefei007的博客
10-19 925
对工作中常做的项目进行记录与思考,若有错误,欢迎指教。
在API对接过程中对接注意的安全
wbryze的博客
03-28 380
在API对接过程中,安全措施是至关重要的,它确保数据的完整性、机密性和可用性。
三方对接「心得」与「体会」
【积累】,是一个长期持续的过程。
03-29 376
如果你看到这个话题,并不知道是什么意思,那么祝贺你,安安静静的当个小码农也挺好;
三方四方聚合支付PHP网站源码-对接支付宝微信接口.zip
11-23
为了保证支付的安全性,源码还内置了密钥管理、数据加密、风险控制等安全机制,确保每一笔交易的安全可靠。 由于是开源的网站源码,用户在使用该源码时,可以很方便地根据自己的需求进行二次开发,添加个性化功能。...
三方接口对接标准化接口文档
07-05
本文档是第三方接口对接的标准化接口文档,旨在规范化接口调用和数据交换的方式。本文档将涵盖接口的基本信息、接口调用方式、数据返回格式、基础数据等多个方面,以确保接口调用的一致性和可靠性。 二、接口方式 ...
金蝶云苍穹数据迁移与备份指南:三方系统对接数据安全战略
随后,详细分析了金蝶云苍穹系统的架构,包括系统组件、数据库架构、安全机制等,探讨了三方系统对接时的数据安全策略。在实践操作章节中,本文提供了数据迁移前的准备工作、执行过程和备份与恢复策略的具体指导。...
关于第三方Api接口对接安全性的总结
weixin_30321709的博客
01-28 1149
公司搬东莞了没办法年底还要找工作,这周周一面试周二入职,入职第一天,就让对接前海征信的接口,本周上线,压力山大。 而且那边提供的是demo都是java和php版,证书也是.jks格式,瞬间蒙蔽。 经过这几天研究,装了jdk通过工具把jks证书转成.net可识别的pfx格式,各种加密解密,签名认证,每天从8:30到晚上8:30,终于联调成功。 现在总结一下关于安全性方面的知识,参考资料是《C#...
接口对接
qq_44835285的博客
12-13 343
项目pom文件中加入hutool的依赖,maven更新一下下载工具包 Hutool-http参考文档 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.4.5</version> </dependency> 然后直接写一个测试类: package cn.net
今天我们来聊聊,如何做好第三方系统对接
热门推荐
laker的博客
12-18 1万+
作者:laker,喜欢LOL滴神faker,又是NBA湖人队(laker)粉丝儿(主要是老詹的粉丝儿),本人又姓李,取名:laker,喜欢分享自己工作中需要的问题和解决方案,以及一些读书笔记和心得分享。 文章目录前言What 是什么Why 为什么How 怎么做对接对接对接对接风险总结与思考 前言 无论你是做面向ToB、ToC还是ToG的业务,开发业务系统,永远也逃脱不了与第三方系统对接的命运,例如:常见的支付宝、微信支付平台对接、短信平台对接,还有单点登录对接,以及与友商的数据接口对接等等,大..
如何更好地对接三方数据库
nbsaas-boot基于Request-Response的企业级快速开发框架
07-06 1196
在现代企业信息化建设中,对接三方数据库是一个常见且重要的任务。无论是为了单据录入还是报表统计,确保对接过程的顺利进行对于业务运转至关重要。本文将详细介绍如何更好地对接三方数据库,涵盖命名方式、业务理解和数据对接的具体步骤。
项目开发过程中接口的风险和管控
weizhiai12的专栏
03-11 3354
在项目开发的过程中,经常会遇到和其他系统的接口交互的需求,面对这种跨项目团队,跨产品组的接口问题,我们应该如何处理呢?是等到项目需求明朗后,再找相关的系统开发人员来进行洽谈,然后合作开发测试呢?还是在立项后就开始着手准备呢?          从项目风险的角度来看,如果到了需求明朗后才开始找相关人员来进行分析确认,然后开发,测试,恐怕会是一种很理想的状态。因为其他项目团队的资源是否能够恰好在你需
API接口安全
zhu58252601的博客
03-26 1385
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证 ...
三方 API 接口安全加密方法和认证
州仔
07-03 767
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。与第三方系统做系统对接接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
java 如何保证接口安全
sky198989的博客
04-15 810
转载:https://blog.youkuaiyun.com/springlovejava/article/details/78737793
java 对接三方接口
weixin_42903592的博客
09-25 3026
感想 这是我第一次要写对外的接口,一开始还是比较迷茫的,因为要考虑到数据的安全传输,很多技术我都还是比较的不熟悉,后来经过对每一个技术的了解,终于还是写出来了。 感觉一切都是从陌生到熟悉,再到亲切 哈哈哈哈哈 如有错误,希望指出, 共同学习 技术 ​ 我会把所有的封装的工具类都给出来 1: 使用Rsa非对称的加密算法,对传输的参数进行加密 (需要一个公钥和一个私钥) 2: 使用md5 进行加签,验证身份是否正确 3:使用hutool工具中的HttpUtil进行请求 4:http://web.chacu
对接三方快递柜http接口
最新发布
01-07
### 对接三方快递柜 HTTP API 接口 #### 一、准备工作 为了成功对接三方快递柜的HTTP API接口,需完成如下准备事项: - **获取API凭证**:联系快递柜提供商以获得必要的认证信息,如API密钥或令牌。这些凭证用于身份验证和授权访问。 - **阅读官方文档**:仔细研读供应商提供的API文档[^3],了解支持的功能列表、请求URL、参数说明以及响应格式等内容。确保理解每项功能的具体实现细节及其约束条件。 - **设置开发环境**:确认本地编程工具已安装并配置好相应的库/框架,以便能够发起网络请求并与服务器交互数据。对于大多数Web服务来说,建议采用`UTF-8`字符集编码发送POST表单数据,例如使用`application/x-www-form-urlencoded;charset=utf-8`作为Content-Type头部值。 #### 二、构建请求体结构 基于所选语言编写客户端程序时,应遵循以下模式来组装向远程端点提交的数据包: ```json { "method": "string", // 请求的方法名 "param": { /* 参数对象 */ }, "sign": "string" // 数字签名字符串 } ``` 其中,“method”代表调用的服务名称;“param”内含实际传递给后台处理的各项属性;最后通过特定算法计算得出的安全散列码赋值于“sign”。 #### 三、示例代码片段 下面给出一段Python脚本示范如何利用requests模块执行上述流程中的某一步骤——查询订单状态: ```python import requests from hashlib import md5 def generate_sign(params_dict, secret_key): """生成MD5加密后的签名""" sorted_items = sorted(params_dict.items()) query_string = ''.join([f"{k}{v}" for k, v in sorted_items]) + secret_key m = md5() m.update(query_string.encode('utf-8')) return m.hexdigest() url = 'https://api.example.com/order/query' params = {'order_id': '12345'} secret = 'your_secret_here' headers = {"Content-Type": "application/json"} data = { "method": "OrderQuery", "param": params, "sign": generate_sign(params, secret), } response = requests.post(url=url, json=data, headers=headers).json() if response['success']: print(f'Order status is {response["result"]["status"]}') else: print(response.get('message', 'Failed to get order info.')) ``` 此段代码展示了怎样构造一个合法有效的JSON负载,并将其封装到HTTPS POST请求之中去检索指定ID对应包裹的状态详情。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值