了解接口中的 数字签名

已于 2023-12-13 16:44:01 修改
阅读量497 收藏 8
点赞数 8
分类专栏: 接口测试 文章标签: 网络
于 2023-12-06 15:29:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40384309/article/details/134831809
版权

在使用HTTP/SOAP协议传输数据时,签名作为其中一个参数,作用如下:

  • 鉴权:客户端和服务端的密钥匹配;
  • 防数据篡改:参数及密钥生成加密字符串,将该字符串作为签名,任意一个参数改变,签名校验就会失败。

一句话描述:客户端与服务端以同样的规则生成密钥,最终比较2个密钥是否相等,若相等,则证明密钥验证成功。

1、鉴权

一个普通的URL:http://127.0.0.1:8000/api/?a=1&b=2

未加密的签名(明文)已加密的签名(加密算法MD5进行加密)
签名@admin1234b9db269c5f978e1264480b0a7619eea
URLhttp://127.0.0.1:8000/api/?a=1&b=2&sign=@admin123http://127.0.0.1:8000/api/?a=1&b=2&sign=4b9db269c5f978e1264480b0a7619eea

MD5 加密过程:

PS:由于MD5算法是不可逆的,所以,当服务器接收到参数后,同样需要对@admin123进行MD5加密,然后,与接口传来的sign加密字符串比较是否相等,从而鉴别是否有权访问接口。

2、防数据篡改

一个普通的URL:http://127.0.0.1:8000/api/?a=1&b=2

未加密的签名(明文)已加密的签名(加密算法MD5进行加密)
签名a=1&b=2&@admin1234b9db269c5f978e1264480b0a7619eea
URLhttp://127.0.0.1:8000/api/?a=1&b=2&sign=@admin123http://127.0.0.1:8000/api/?a=1&b=2&sign=80a0c2d8e01e4022cac3474b6127b1b9

md5加密过程:

3、弊端

由于MD5加密是不可逆的,所以服务端的必须知道客户端接口的参数和值,否则签名验证就会失败。

但一般在接口设计的时候,对客户端的参数并不完全已知,例如:新增用户的手机号,类似这种情况时,就不能使用全参加密。

从入门到精通:接口自动化测试中加密、解密和Sign签名的完整指南
mashangtt的博客
05-10 2015
在进行接口自动化测试时,加密、解密和sign签名是非常重要的步骤。这些过程可以保证传输的数据安全性,并防止恶意攻击。下面将介绍如何使用Python实现接口自动化测试中的加密、解密和sign签名
接口加密和数字签名如何实现
m0_53396342的博客
04-16 1574
软件测试面试题:接口加密和数字签名如何实现
8年测试总结,接口测试专项-加密/签名,一篇打通接口测试
m0_70102063的博客
07-12 394
什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。加密方式分析1、加对称密DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
接口签名、加解密
weixin_45497242的博客
09-02 1657
接口签名、加解密
接口签名
GUYyyy的博客
12-07 2312
一、不进行验证的方式 api查询接口: app调用:http://api.test.com/getproducts?参数1=value1… 如上,这种方式简单粗暴,通过调用getproducts方法即可获取产品列表信息了,但是 这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。 那么,如何验证调用者身份呢?如何防止参数被篡改呢? 二、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.S
数字签名算法,c++实现,RSA的算法
11-16
通过这个压缩包,学习者不仅可以深入理解RSA算法,还能了解到如何在实际项目中使用C++实现这一算法,并进行数字签名的生成和验证。同时,这也是一个很好的机会来练习C++编程和理解加密算法的实际应用。
java 数字签名验签
04-27
在Java中,数字签名通常使用Java Cryptography Architecture (JCA) 和 Java Cryptography Extension (JCE) 提供的API来实现。在这个项目中,我们看到它被用作二次开发的基础,意味着它提供了一个可扩展的框架,可以...
接口签名算法设计、MD5签名算法
11-29
签名算法中,MD5常被用于生成消息的数字指纹。虽然MD5的安全性相对较弱,容易遭受碰撞攻击,但在某些不需要高强度安全性的场景下,如日志文件完整性校验,仍有一定应用。 微信接口签名方案是一个典型的例子,其...
获取数字签名信息
02-28
当我们谈论“获取数字签名信息”时,通常是指通过编程接口(如DLL接口)来访问和解析包含在可执行文件或库中的数字签名数据。下面将详细讨论这个主题。 首先,数字签名是公钥加密技术的一部分,它利用非对称密钥对...
图形化和命令行集于一体的专业数字签名工具
12-04
本篇文章将深入探讨专业数字签名工具的特性,尤其是那些同时具备图形化界面和命令行界面的工具,以及它们在应用程序代码签名和ActiveX控件数字签名中的应用。 首先,数字签名的核心在于其使用公钥加密技术。它通过...
web接口数字签名
patmos
11-06 1088
web接口数字签名 什么是数字签名 所谓数字签名(Digital Signature)(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名, 但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用 于签名,另一个用于验证。 数字签名的实现 数字签名的简单实例是直接利用RSA算法和发送方的秘密密钥。对被签名的数据进行加密。当接收方收取本块 密文时,使用发送方的公开密钥进行解密,如果能够还原明文,则根据公开密钥体制的特点(公开密钥加密的密文 只能用秘密
web接口测试之用户认证和数字签名
JOJOY的博客
05-02 4649
用户认证 在我们测试 web 接口时,不管所用的工具还是Requests 库都提供的 Auth 的选项,这个选项同样需要填写username 和 password,但这里 Auth 的用户名和密码与系统登录的用户名密码有区别,因为Auth不是作为GET/POST请求的参数发送的,在requests库里面是一个控制参数,是一个元组类型。 例子: r = requests.get(url,aut
什么是API密钥及其安全使用指南?
最新发布
Jernnifer_mao的博客
03-13 3362
API密钥用于控制和追踪API的使用者及其使用方法。“API密钥”一词对不同的系统而言含义有所不同。有些系统只有单一代码,其他系统则有多个针对单一“API密钥”的代码。因此,“API密钥”是API用于验证和授权调用用户或应用程序的唯一代码或一组唯一代码。有些代码用于验证,有些则用于创建加密签名以证明请求的合法性。验证代码通常统称为“API密钥”,用于加密签名的代码则名称各异,例如“加密密钥”、“公钥”或“私钥”。验证需要识别所涉及的实体,并确认其身份是否与所声称的一致。
资深8年测试整理,接口测试必备-加密与签名,让你不再走弯路...
分享测试知识
10-12 313
1、接口加密解密1)什么是加密以及解密?加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据2)加密方式分类?对称式加密:对加密和解密使用的是同一个密钥非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。2、加密方式1)加对称密技术DES加密算法:加密安全性弱,一般应用于旧的系统里面AES加密算法:一般用于前后端分离的接口加密Base64加密算法:编码的方式。
支付宝接口数字签名
飞鱼的博客
01-30 1172
通过阅读本篇文章,你可以了解数字签名技术,了解支付宝接口签名和验签的流程
php api接口数字签名,验签
weixin_30357231的博客
12-07 471
<?php //说明:第三方请求参数中,需要在平台申请帐号,生成一个appid,每个appid对应一个appserect,请求如下: $param = array(   'appid'=>'137876891',   'name'=>'张三',   'mobile'=>'1389***9108',   'age'=>'29',   'content'=&...
接口调用·访问控制_数字签名计算方法
Horizon_wdp的博客
07-01 1004
对于每一次HTTP或者HTTPS协议请求,我们会根据访问中的签名信息验证访问请求者身份。具体由使用AccessKey和SecretKey对称加密验证实现。API中的AccessKey和SecretKey 是通过用户的账户设置面板来生成的。...
支付宝当面付接口RSA密钥配置及公钥&私钥获取教程方法
热门推荐
淇云博客
08-17 1万+
有很多朋友有当面付的功能,碍于不知道如何获取,应用 ID&支付宝公钥&商户私钥,导致无法进行配置在线支付等等,因此淇云博客出一期详尽的教程,其余的各位自行摸索,不难的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值