校验时间戳和签名

最新推荐文章于 2025-03-06 00:04:06 发布
转载 最新推荐文章于 2025-03-06 00:04:06 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/dayandday/p/10948081.html
文章标签:

#java #测试 #javascript #ViewUI

该博客主要介绍了使用Java进行URL链接中时间戳和签名的获取与校验。先从URL中获取时间戳和签名,接着对时间戳的有效性和签名的正确性进行校验,还给出了验证工具类,包含验证签名和生成签名的方法。

1.获取url链接里面的时间戳和签名 

// 时间戳
            String timestamp = qpMap.get("timestamp");
            // 签名
            String sign = qpMap.get("sign");
2.进行校验

        // 校验签名前后过期时间
            checkSignTime(timestamp);

            // 校验签名
            checkSign(streamStr, timestamp, sign);
private void checkSignTime(String timestamp) {
        if (StringUtils.isBlank(timestamp)) {
            //logger.error("{}-鉴权时间戳缺失", MsgCode.SIGN_PARAM_ERROR_CODE);
            throw new BusinessException(MsgCode.SIGN_PARAM_ERROR_MSG, MsgCode.SIGN_PARAM_ERROR_CODE);
        }
        long currentTime = System.currentTimeMillis() / 1000;// 统一都传毫秒
        long requestTime = 0;
        try {
            requestTime = Long.parseLong(timestamp);
        } catch (NumberFormatException e) {
            //logger.error("{}-鉴权时间戳错误 timestamp:{}", MsgCode.SIGN_PARAM_ERROR_CODE, timestamp);
            throw new BusinessException(MsgCode.SIGN_PARAM_ERROR_MSG, MsgCode.SIGN_PARAM_ERROR_CODE);
        }
        if (Math.abs(currentTime - requestTime) > APPIConstants.Filter.OUT_OF_DATE_TIME_LONG) {
            logger.error("{}-签名已过期,服务器当前时间:{}", MsgCode.OUT_OF_DATE_SIGN_CODE, currentTime);
            throw new BusinessException(String.format(MsgCode.OUT_OF_DATE_SIGN_MSG, currentTime), MsgCode.OUT_OF_DATE_SIGN_CODE);
        }
    }

        if (StringUtils.isBlank(sign)) {
            //logger.error("{}-签名为空", MsgCode.SIGN_PARAM_ERROR_CODE);
            throw new BusinessException(MsgCode.SIGN_PARAM_ERROR_MSG, MsgCode.SIGN_PARAM_ERROR_CODE);
        }

        // 验证签名
         streamStr = Base64.encode(streamStr);
         if (!SignUtil.checkSign(streamStr, APPIConstants.Filter.key, timestamp, sign)) {
            //logger.error("{}-签名错误", MsgCode.SIGN_ERR_CODE);
            throw new BusinessException(MsgCode.SIGN_ERR_MSG, MsgCode.SIGN_ERR_CODE);
        }
    }
验证工具类: 

public class SignUtil {
private final static Logger logger = LoggerFactory.getLogger(SignUtil.class);

/**
* @Description 验证签名
* @param content 验签内容
* @param key 签名key值
* @param additionContent 附加的签名信息
* @param sign 待验证的签名
*/
public static boolean checkSign(String content, String key, String additionContent, String sign) {
if (StringUtils.isBlank(sign)) {
return false;
}
String _sign = createSign(content, key, additionContent);
if (sign.equalsIgnoreCase(_sign)) {
return true;
}
logger.error("参数sign:{},验签sign:{}", sign, _sign);
return false;
}

/**
* @Description 生成签名
* @param content 签名内容
* @param key 签名key值
*/
public static String createSign(String content, String key, String additionContent) {
if(StringUtils.isEmpty(additionContent)){
return MD5Util.getMd5(content + key);
}else{
return MD5Util.getMd5(content + key + additionContent);
}
}
}
 
---------------------

原文:https://blog.youkuaiyun.com/riju4713/article/details/81457479

转载于:https://www.cnblogs.com/dayandday/p/10948081.html

接口的安全设计三要素:ticket,签名时间戳
资料免费分享,点击名片
08-06 583
概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。3.但这依然存在问题,可能会被进行恶意无限制访问,这时我们需要引入一个时间戳参数,
时间戳 + 签名机制
weixin_42759398的博客
07-31 856
本文提出了一种基于时间戳+签名机制的无登录动态鉴权方案,通过客户端生成动态签名(包含时间戳、随机字符串业务参数)实现安全访问。方案包含前后端完整实现:后端采用拦截器验证签名有效性、时间戳时效性随机数唯一性;前端通过加密函数生成动态签名。该方案具备防重放、防篡改特性,既保障接口安全又无需强制登录,适用于门户网站等场景。关键点包括前后端签名规则一致性、HTTPS传输安全保障以及随机数防重放机制。
关于时间戳与数字签名
04-04
了解学习,关于数字签名时间戳服务 时间戳的机制及有了数字签名为什么还要上时间戳 时间戳的种类
时间戳校验并发问题
北方的木的博客
12-24 2110
使用场景:作用于并发校验 前端js根据主键请求后台获取到数据的修改时间,跟js获取列表的时间进行对比 appService.GetModifiedTime(oid).then(function (result) {//后端请求得到的时间 var time = e.selected[0].ModifiedTime;//前端列表的时间这个时候可以调试得出时间格式不对 time = time.getFullYear() + '/' + (time.getMonth() + 1) + '/
时间戳校验和计算
shigzhu的专栏
08-12 945
#include "stdafx.h" #include <iostream> #include <vector> #include <time.h> #include <afxtempl.h> using namespace std; inline int fromHex(char c) { return ((c >= '0') && (c <= '9')) ? int(c - '0') : (((c >= 'A'...
在Windows7系统下,安装.net framework,时间戳签名/或证书无法验证或已损坏 , 完美解决方案
10-07
【亲测可用】在Windows7系统下,安装.net framework,提示错误(时间戳签名/或证书无法验证或已损坏)的完美解决方案,更新包包括 x86与 x64两个版本。安装补丁后重启电脑 ,再安装.net framework就可以成功了。
易语言-易语言签名验证例子
06-26
在"易语言数字签名应用"这个压缩包文件中,可能包含了易语言的源代码、示例程序以及相关教程,用于指导用户如何在易语言环境中实现上述的签名验证功能。通过学习实践这些例子,开发者可以深入理解RSA算法...
HMAC-Sha256签名算法时间戳结合进行数据传输安全性的保障
百态老人的博客
03-06 1057
HMAC-SHA256签名算法与时间戳结合使用,主要通过动态签名生成时效性验证来保障数据传输的安全性。POSTHostkDatekDatekServicekServicekSigningkSigning通过上述机制,HMAC-SHA256与时间戳的结合有效解决了数据传输中的完整性、真实性时效性问题,成为现代网络安全中广泛采用的核心技术之一。
api对外开放安全性验证:token,签名时间戳
qq_37342720的博客
02-19 2189
近日,对调用第三方接口的安全性调用进行了调整,于是对自己调用接口也进行了验证,看到公众号 程序员闪充包的文章,于是自己测试了一下。 流程说一下: 1.首先第一次登陆,服务器会返回token,服务器端对token进行验证; 2.将调用接口的参数及token生成一个签名sign,作为请求头发给服务器,服务器端用同样方法生成sign对传送过来的sign进行验证; 3.但这样会出现被无限制访问,于是再加一个时间戳校验,sign是参数、token及时间戳生成sign,进行验证; 4.服务端需要对toke.
Flutter 项目实战 网络请求MD5+时间戳+验证签名 十一
2401_85391803的博客
07-04 526
为了方便有学习需要的朋友,我把资料都整理成了视频教程(实际上比预期多花了不少精力)当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作能力提升中甩开同龄人。无论你现在水平怎么样一定要 持续学习 没有鸡汤,别人看起来的毫不费力,其实费了很大力,这四个字就是我的建议!!我希望每一个努力生活的IT工程师,都会得到自己想要的,因为我们很辛苦,我们应得的。
校验时间的正则表达式
10-15
校验时间的正则表达式校验时间的正则表达式校验时间的正则表达式校验时间的正则表达式
PDF时间戳数字签名
热门推荐
running_snail_的专栏
11-01 1万+
可信时间戳是由联合信任时间戳服务中心(TSA:Time Stamp Authority)颁发的具有法律效力的电子凭证, 时间戳与电子数据唯一对应,其中包含电子数据 “指纹”、产生时间、时间戳服务中心信息等。可信时间戳的法律效力、作用我就不说了 直接贴代码吧。import com.itextpdf.text.DocumentException; import com.itextpdf.text.Rec
API接口的安全设计验证:ticket,签名时间戳
2401_84831693的博客
05-10 1091
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
检测时间戳
IAXin的博客
10-24 628
做签到,倒计时时常用的几个方法,记录一下。 //检测两个时间是否是同一天 private bool isOneDay(DateTime t1,DateTime t2) { return(t1.Year == t2.Year && t1.Month == t2.Month && t1.Day == t2.Day); } ...
js(nodejs)校验(判断)时间戳(时间)的正则表达式
weixin_61148719的博客
03-20 1621
2、判断日期时间类型 0000-00-00 00:00:00(注意中间有空格,表达式里面也要有空格)3、判断日期类型 0000-00-00。1、判断时间类型 00:00:00。
数字签名时间戳服务器的原理
小强快跑~~
01-19 5337
时间戳服务工作流程: ◆ 用户对文件数据进行Hash摘要处理; ◆ 用户提出时间戳的请求,Hash值被传递给时间戳服务器; ◆ 时间戳服务器对哈希值一个日期/时间记录进行签名,生成时间戳; ◆ 时间戳数据文件信息绑定后返还,用户进行下一步电子交易操作。 验证工作流程 一、用时间戳标记顺序 时间戳服务:time-stamp service 时间戳标记:time-stamp token 可信第三方:trusted third part,TTP 时间戳服务...
签名验签时间戳二合一
最新发布
08-07
### 签名、验签与时间戳功能整合的实现方法 在接口安全设计中,签名(Sign)、验签时间戳(Timestamp)是确保请求完整性时效性的关键机制。通过整合这些功能,可以有效防止请求伪造、参数篡改重放攻击。以下是实现方法的详细说明。 #### 签名的生成与验证 签名是基于请求参数生成的加密字符串,用于验证请求的来源完整性。通常使用 `HMAC-SHA256` 或 `MD5` 等算法进行签名生成。具体步骤如下: 1. **参数排序**:将所有请求参数按照参数名进行排序,确保生成签名的顺序一致。 2. **拼接字符串**:将排序后的参数以 `key=value` 的形式拼接成一个字符串。 3. **添加密钥**:在拼接的字符串末尾加上密钥(Secret Key),用于增强签名的安全性。 4. **生成签名**:使用加密算法(如 `HMAC-SHA256`)对拼接后的字符串进行加密,生成签名值。 5. **传递签名**:将生成的签名作为请求参数之一传递给服务端。 服务端在接收到请求后,重复上述步骤,生成签名并与请求中的签名进行比对。如果一致,则验签成功;否则,拒绝请求。 #### 时间戳校验 时间戳用于防止请求的重放攻击。通过校验时间戳,可以确保请求的时效性。具体实现如下: 1. **生成时间戳**:客户端在发起请求时,生成当前时间的时间戳(通常以秒或毫秒为单位)。 2. **传递时间戳**:将时间戳作为请求参数之一传递给服务端。 3. **校验时间戳**:服务端接收到请求后,获取时间戳参数,并与当前时间进行比较。如果时间差超过预设的阈值(如 5 分钟),则拒绝请求。 #### 防止请求重放 为了进一步防止请求重放,可以引入 `nonce`(一次性随机值)机制。`nonce` 是一个仅能使用一次的随机值,确保每个请求的唯一性。具体步骤如下: 1. **生成 nonce**:客户端在发起请求时,生成一个唯一的随机值作为 `nonce`。 2. **传递 nonce**:将 `nonce` 作为请求参数之一传递给服务端。 3. **校验 nonce**:服务端接收到请求后,检查 `nonce` 是否已使用过。如果已使用,则拒绝请求;否则,记录 `nonce` 并继续处理。 #### 整合签名、验签与时间戳功能 在实际开发中,可以结合拦截器或过滤器实现签名、验签时间戳校验。以下是一个基于 Spring Boot 的实现示例: ```java @Component public class SignInterceptor implements HandlerInterceptor { private static final String SECRET_KEY = "your_secret_key"; private static final long TIMESTAMP_EXPIRE = 5 * 60 * 1000; // 5分钟 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求参数 Map<String, String[]> parameterMap = request.getParameterMap(); Map<String, String> params = new HashMap<>(); for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) { params.put(entry.getKey(), entry.getValue()[0]); } // 获取签名时间戳 nonce String sign = params.get("sign"); String timestamp = params.get("timestamp"); String nonce = params.get("nonce"); // 校验时间戳 long currentTime = System.currentTimeMillis(); long requestTime = Long.parseLong(timestamp); if (Math.abs(currentTime - requestTime) > TIMESTAMP_EXPIRE) { response.sendError(HttpServletResponse.SC_BAD_REQUEST, "Timestamp expired"); return false; } // 校验 nonce if (isNonceUsed(nonce)) { response.sendError(HttpServletResponse.SC_BAD_REQUEST, "Nonce already used"); return false; } // 生成签名校验 String generatedSign = generateSign(params, SECRET_KEY); if (!generatedSign.equals(sign)) { response.sendError(HttpServletResponse.SC_BAD_REQUEST, "Invalid sign"); return false; } // 标记 nonce 已使用 markNonceAsUsed(nonce); return true; } private String generateSign(Map<String, String> params, String secretKey) { // 参数排序 List<String> keys = new ArrayList<>(params.keySet()); Collections.sort(keys); // 拼接字符串 StringBuilder sb = new StringBuilder(); for (String key : keys) { if (!key.equals("sign")) { sb.append(key).append("=").append(params.get(key)).append("&"); } } sb.append("key=").append(secretKey); // 生成签名 return DigestUtils.md5DigestAsHex(sb.toString().getBytes(StandardCharsets.UTF_8)); } private boolean isNonceUsed(String nonce) { // 实现 nonce 校验逻辑,例如使用 Redis 缓存 return false; } private void markNonceAsUsed(String nonce) { // 实现 nonce 记录逻辑,例如使用 Redis 缓存 } } ``` #### 请求体重复读取问题的解决方案 在 Spring Boot 中,`HttpServletRequest.getInputStream()` 默认只能读取一次。如果在拦截器中读取了请求体内容用于签名校验,后续的 Controller 将无法再次读取,导致报错。解决方案是使用 `CachedBodyHttpServletRequest` 包装请求,实现请求体的缓存重复读取。具体实现如下: ```java public class CachedBodyHttpServletRequest extends HttpServletRequestWrapper { private byte[] cachedBody; public CachedBodyHttpServletRequest(HttpServletRequest request) throws IOException { super(request); InputStream requestInputStream = request.getInputStream(); this.cachedBody = StreamUtils.readStream(requestInputStream); } @Override public ServletInputStream getInputStream() { return new CachedBodyServletInputStream(this.cachedBody); } @Override public BufferedReader getReader() { ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(this.cachedBody); return new BufferedReader(new InputStreamReader(byteArrayInputStream)); } } public class CachedBodyServletInputStream extends ServletInputStream { private final ByteArrayInputStream byteArrayInputStream; public CachedBodyServletInputStream(byte[] cachedBody) { this.byteArrayInputStream = new ByteArrayInputStream(cachedBody); } @Override public int read() { return this.byteArrayInputStream.read(); } @Override public boolean isFinished() { return this.byteArrayInputStream.available() == 0; } @Override public boolean isReady() { return true; } @Override public void setReadListener(ReadListener readListener) { throw new UnsupportedOperationException(); } } ``` 通过上述方法,可以有效整合签名、验签时间戳功能,提升接口的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值