java验证签名_简单API接口签名验证

最新推荐文章于 2025-05-30 18:30:00 发布
最新推荐文章于 2025-05-30 18:30:00 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java验证签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42291186/article/details/114051404
本文介绍了如何在Java中设计并实现一个简单的API接口签名验证机制,以确保接口安全性。主要内容包括通过分配的app_key和app_secret验证身份,对请求参数进行排序和MD5加密,以及携带时间戳来保证请求的唯一性和防止重复请求。文中提供了完整的签名生成和校验的Java代码实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:

1. 请求的来源是否合法

2. 请求参数是否被篡改

3. 请求的唯一性

我们的签名加密也是主要针对这几个问题来实现

设计

基于上述的几个问题,我们来通过已下步骤来实现签名加密:

1. 通过分配给APP对应的app_key和app_secret来验证身份

2. 通过将请求的所有参数按照字母先后顺序排序后拼接再MD5加密老保证请求参数不被篡改

3. 请求里携带时间戳参数老保证请求的唯一和过期,重复的请求在指定时间(可配置)内有效

实现

签名生成:

生成当前时间戳timestamp=now

按照请求参数名的字母升序排列非空请求参数(包含accessKey) stringA="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random";

拼接密钥accessSecret stringSignTemp="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random&accessSecret=secret";

MD5并转换为大写生成签名 sign=MD5(stringSignTemp).toUpperCase();

JAVA代码如下:params是从request里面获取的所有参数map,accessSecret是加密密钥

private String createSign(Map params, String accessSecret) throws UnsupportedEncodingException {

Set keysSet = params.keySet();

Object[] keys = keysSet.toArray();

Arrays.sort(keys);

StringBuilder temp = new StringBuilder();

boolean first = true;

for (Object key : keys) {

if (first) {

first = false;

} else {

temp.append("&");

}

temp.append(key).append("=");

Object value = params.get(key);

String valueString = "";

if (null != value) {

valueString = String.valueOf(value);

}

temp.append(valueString);

}

temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);

return MD5Util.MD52(temp.toString()).toUpperCase();

}

签名校验:

参数格式校验

超时校验

验证签名

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

Map result = new HashMap();

String timestamp = request.getParameter(TIMESTAMP_KEY);

String accessKey = request.getParameter(ACCESS_KEY);

String accessSecret = map.get(accessKey);

if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {

result.put("code", 1000);

result.put("msg", "请求时间戳不合法");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

// 检查KEY是否合理

if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {

result.put("code", 1001);

result.put("msg", "加密KEY不合法");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

Long ts = Long.valueOf(timestamp);

// 禁止超时签名

if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {

result.put("code", 1002);

result.put("msg", "请求超时");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

if (!verificationSign(request, accessKey, accessSecret)) {

result.put("code", 1003);

result.put("msg", "签名错误");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

return true;

}

校验签名:

private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {

Enumeration> pNames = request.getParameterNames();

Map params = new HashMap();

while (pNames.hasMoreElements()) {

String pName = (String) pNames.nextElement();

if (SIGN_KEY.equals(pName)) continue;

Object pValue = request.getParameter(pName);

params.put(pName, pValue);

}

String originSign = request.getParameter(SIGN_KEY);

String sign = createSign(params, accessSecret);

return sign.equals(originSign);

}

完整代码:

这里通过拦截器来实现接口拦截,可自行替换

package com.mlcs.mop.common.web.interceptor;

import com.mlcs.core.conf.ZKClient;

import com.mlcs.mop.common.web.util.MD5Util;

import com.mlcs.mop.common.web.util.WebUtils;

import org.apache.zookeeper.KeeperException;

import org.springframework.util.StringUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.StringReader;

import java.io.UnsupportedEncodingException;

import java.util.*;

import java.util.concurrent.ConcurrentHashMap;

/**

* Author: Kelin

* Date: 2018/5/16

* Description:

*/

@SuppressWarnings("SuspiciousMethodCalls")

public class SimpleApiSignInterceptor extends HandlerInterceptorAdapter {

// 签名超时时长,默认时间为5分钟,ms

private static final int SIGN_EXPIRED_TIME = 5 * 60 * 1000;

private static final String API_SIGN_KEY_CONFIG_PATH = "/mop/common/system/api_sign_key_mapping.properties";

private static final String SIGN_KEY = "sign";

private static final String TIMESTAMP_KEY = "timestamp";

private static final String ACCESS_KEY = "accessKey";

private static final String ACCESS_SECRET = "accessSecret";

private static Map map = new ConcurrentHashMap();

static {

// 从zk加载key映射到内存里面

try {

String data = ZKClient.get().getStringData(API_SIGN_KEY_CONFIG_PATH);

Properties properties = new Properties();

properties.load(new StringReader(data));

for (Object key : properties.keySet()) {

map.put(String.valueOf(key), properties.getProperty(String.valueOf(key)));

}

} catch (KeeperException e) {

e.printStackTrace();

} catch (InterruptedException e) {

e.printStackTrace();

} catch (IOException e) {

e.printStackTrace();

}

}

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

Map result = new HashMap();

String timestamp = request.getParameter(TIMESTAMP_KEY);

String accessKey = request.getParameter(ACCESS_KEY);

String accessSecret = map.get(accessKey);

if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {

result.put("code", 1000);

result.put("msg", "请求时间戳不合法");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

// 检查KEY是否合理

if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {

result.put("code", 1001);

result.put("msg", "加密KEY不合法");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

Long ts = Long.valueOf(timestamp);

// 禁止超时签名

if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {

result.put("code", 1002);

result.put("msg", "请求超时");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

if (!verificationSign(request, accessKey, accessSecret)) {

result.put("code", 1003);

result.put("msg", "签名错误");

WebUtils.writeJsonByObj(result, response, request);

return false;

}

return true;

}

private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {

Enumeration> pNames = request.getParameterNames();

Map params = new HashMap();

while (pNames.hasMoreElements()) {

String pName = (String) pNames.nextElement();

if (SIGN_KEY.equals(pName)) continue;

Object pValue = request.getParameter(pName);

params.put(pName, pValue);

}

String originSign = request.getParameter(SIGN_KEY);

String sign = createSign(params, accessSecret);

return sign.equals(originSign);

}

private String createSign(Map params, String accessSecret) throws UnsupportedEncodingException {

Set keysSet = params.keySet();

Object[] keys = keysSet.toArray();

Arrays.sort(keys);

StringBuilder temp = new StringBuilder();

boolean first = true;

for (Object key : keys) {

if (first) {

first = false;

} else {

temp.append("&");

}

temp.append(key).append("=");

Object value = params.get(key);

String valueString = "";

if (null != value) {

valueString = String.valueOf(value);

}

temp.append(valueString);

}

temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);

return MD5Util.MD52(temp.toString()).toUpperCase();

}

}

转载至链接:https://my.oschina.net/u/3057247/blog/1925209

如风如此
关注
java app接口安全认证_Java生鲜电商平台-开放API接口签名验证(小程序/APP)
weixin_36210213的博客
02-13 537
Java生鲜电商平台-开放API接口签名验证(小程序/APP)说明:在实际的生鲜业务中,不可避免的需要对外提供api接口给外部进行调用. 这里就有一个接口安全的问题需要沟通了。下面是干货:接口安全问题请求身份是否合法?请求参数是否被篡改?请求是否唯一?AccessKey&SecretKey (开放平台)请求身份为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于...
java验证签名_验证签名机制——java示例
weixin_33326218的博客
02-12 1247
import java.security.KeyPair;import java.security.KeyPairGenerator;import java.security.NoSuchAlgorithmException;import java.security.Signature;/**** @since 2015年8月20日 下午2:22:08* @author hym*/public c...
API签名验证
08-01
http Restful API签名验证 ,防API接口进行在公网裸奔
java每日精进 5.30【HTTP接口签名防篡改】
最新发布
weixin_51721783的博客
05-30 340
防止篡改:确保请求参数、头和体在传输过程中未被修改。验证调用方身份:通过共享密钥确认请求来自合法调用方。防止重放攻击:确保请求不会被恶意重复使用。这种机制在微信支付、支付宝等 API 中广泛应用,适用于涉及敏感数据交换的场景。
Java简单的对外接口
mochangguan0101的博客
03-02 1311
对外接口,需要校一下是否有相应权限,简单的一个小代码。 res加密util; /** * @description: AES加密解密工具 * @author:mic * @create: **/ public class AESUtil { /** * AES加密字符串 * * @param content * 需要被加密的字符串 * @param password * 加密
JAVA 接口签名sign生成 工具类
热门推荐
默默不代表沉默
02-28 1万+
import org.springframework.util.StringUtils; import java.util.Map; import java.util.Random; import java.util.TreeMap; /** * @Author: JCccc * @CreateTime: 2018-10-30 * @Description: */ public ...
Java加密和数字签名编程快速入门.rar_Java加密_java 数字 签名_java 数字签名_数字 签名_数字签名
09-22
Java中,我们可以使用java.security包中的类来创建和验证数字签名。数字签名通常涉及到非对称加密算法,比如RSA,其中私钥用于签名,公钥用于验证。通过数字签名,接收者可以确认消息在传输过程中未被篡改,并且...
基于Java语言的API接口签名验证与数据安全设计源码
10-02
Java语言的API接口签名验证与数据安全设计源码项目是为了解决数据在网络传输和接口调用过程中的安全问题而设计的。该项目包含了大量的Java源文件和配置文件,涵盖了API接口的安全验证和数据加密两个核心方面。项目中...
数字签名、数字证书分析与Java实现.rar_java 签名 证书_数字签名 rsa_证书_证书解密_证书验证
09-23
“证书验证”是检查证书的完整性和有效性,包括验证签名、确认证书链、检查是否过期等。Java的CertificateFactory和TrustManager接口可以用于这个过程。 综上所述,数字签名和数字证书是保障网络通信安全的关键技术...
id_digital.rar_java 数字签名_数字签名_数字签名 java
09-20
“VerifySign.java”文件则是用于验证签名的。它使用公钥和签名数据来确认数据的完整性和来源的合法性。同样,`Signature`类在这里用于验证签名,通过更新数据的哈希值,然后与已有的签名进行比较,如果匹配,则说明...
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
这确保了只有拥有私钥的人才能创建有效的签名,而任何人都可以使用公钥来验证签名。 在Java中处理这些概念时,你需要了解以下关键知识点: 1. **密钥对生成**:使用`java.security.KeyPairGenerator`生成公钥和...
Java 数字签名验证
04-16
Java语言的数字签名和认证实现代码。包括RSA签名认证、DSA、ECC三种签名认证方式。
java数字签名签名生成,用证书验证签名
06-09
证书(Certificate,也称public-key certificate)是用某种签名算法对某些内容(比如公钥)进行数字签名后得到的、可以用来当成信任关系中介的数字凭证。证书发行机构通过发行证书 告知证书使用者或实体其公钥(public-key)以及其它一些辅助信息。证书在电子商务安全交易中有着广泛的应用,证书发行机构也称 CA(Certificate Authority)
Handwritten Signature SDK:Java SDK可用于开发手写签名验证应用-开源
04-30
手写签名SDK支持:动态时间包装(DTW),扩展回归(ER),签名采样,方向哈希和功能提取:有关更多信息,请参见Wiki。
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校
sco5282的博客
07-14 3903
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
项目级Java接口签名验证实现
sumu_的专栏
06-05 6080
在一些项目中,客户端在调用服务的接口时,通常需要设置签名验证,以保证对客户端的认证。在签名过程中一般每个公司都有自己的签名规则和签名算法,广泛使用的是使用非对称加密算法RSA为核心,在客户端使用私钥对参数进行加密生成一个密钥,传给服务端,然后在服务端再对这个这个密钥使用公钥进行解密,解密出来的字符串参数与客户端传过来的参数进行对比,如果一样,验证成功。 总结起来就是: 客户端          -   首先获取所有的参数,然后对他们进行排序,生成
API签名认证
m0_73966521的博客
07-26 936
简介 | HutoolHutool是项目中“util”包友好的替代,它节省了开发人员对项目中公用类和公用工具方法的封装时间,使开发专注于业务,同时可以最大限度的避免封装不完善带来的bug这是Hutool得官方解释把这个Hutool看成一个工具类即可。
Java电商平台-开放API接口签名验证(小程序/APP)
电商数据Girl的博客
05-31 1427
说明:在实际的生鲜业务中,不可避免的需要对外提供api接口给外部进行调用. 这里就有一个接口安全的问题需要沟通了。下面是干货:接口安全问题请求身份是否合法?请求参数是否被篡改?请求是否唯一?为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。【电商数据接口KEY注册】参数签名按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串st
Java密码学验证签名
unber的博客
06-03 860
可以使用Java创建数字签名,并按照以下步骤进行验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值