Java中使用 Md5+Key的方式对Url签名防篡改

最新推荐文章于 2025-01-27 10:52:28 发布
转载 最新推荐文章于 2025-01-27 10:52:28 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/nimasike/article/details/48000249
文章标签:

#签名 #url签名

本文介绍了使用MD5和密钥对URL进行签名以防止篡改的方法,详细讲解了签名生成步骤,包括参数排序、拼接、MD5计算及签名验证,适用于API安全防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Java中使用 Md5+Key的方式对Url签名防篡改

最近系统接入支付宝,在demo中看到了如何对get请求的url签名防止篡改的方法,觉得不错特此记录一下。

实现方式是:Md5(url+key) 的方式进行的。

1、key可以是任意的字符串,然后“客户端”,“服务器端”各自保留一份,千万不能外泄。

2、请求的URL例如:  name=jack&age=18

3、 URL+Key字符串拼接后的值用MD5加密生成签名,将签名发送到服务器端,同时服务器端已同样的方式计算出签名,然后比较俩个MD5的值是否相同,来确定URL是否被篡改。

4、别人拿不到key是无法正确计算出签名的。

原文链接:https://blog.youkuaiyun.com/nimasike/article/details/48000249

 

2、url增加签名验证防篡改

学习给API加上签名加密验证功能,摘抄了腾讯支付的说明书文档————————————————————————————————————————————————————————

为了提高传输过程参数的防篡改性,必须使用签名参数sig。

  1. 签名参数sig生成的步骤

第1步: 把需要包含在签名中的参数按key升序排序。 具体需要包含哪些参数,见各接口参数说明中关于sig的描述。
第2步: 把排序后的key和它对应的value拼接成一个字符串。
第3步: 把分配给商家的appkey拼接在第2步得到的字符串后面。
第4步: 计算第3步字符串的md5值,使用md5值的16进制字符串作为sig的内容。

  1. 示例
    原始请求信息
    应用ID:appid=600
    商户appkey=4dd1af55f7f140ac8827518472af3d87
    原始请求:
    http://openapi.pengyou.qq.com/v2/r/qzone/qz_get_balance?
    appid=600&
    appkey=HWAffC6MK1DQ5ztm&
    appname=app600&
    device=0&
    openid=00000000000000000000000000000009&
    openkey=1111111111446414117133E71111111111C50AE4A7111111&
    ts=1300444184&
    userip=112.90.139.30
    查询时需要包含在签名里的参数:appid,appkey,appname,openid,openkey,ts。
    下面开始生成sig:
    第1步: 将参数按key升序排序
    得到:appid,appkey,appname,openid,openkey,ts

第2步: 把所有键值对字符串拼接成一个字符串得到:
appid600appkeyHWAffC6MK1DQ5ztmappnameapp600openid00000000000000000000000000000009
openkey1111111111446414117133E71111111111C50AE4A7111111ts1300444184

第3步: 把分配给商家的appkey拼接在第2步骤得到的字符串后面得到:
appid600appkeyHWAffC6MK1DQ5ztmappnameapp600openid00000000000000000000000000000009
openkey1111111111446414117133E71111111111C50AE4A7111111ts1300444184
HWAffC6MK1DQ5ztm

第4步: 计算第3步骤字符串的md5值
md5
(appid600appkeyHWAffC6MK1DQ5ztmappnameapp600openid00000000000000000000000000000009
openkey1111111111446414117133E71111111111C50AE4A7111111ts1300444184
HWAffC6MK1DQ5ztm)
得到:
sig=eddf71eaa362748beda2cca96a4786ff

加签名后的请求串
http://openapi.pengyou.qq.com/v2/r/qzone/qz_get_balance?
appid=600&
appkey=HWAffC6MK1DQ5ztm&
appname=app600&
device=0&
openid=00000000000000000000000000000009&
openkey=1111111111446414117133E71111111111C50AE4A7111111&
ts=1300444184&
userip=112.90.139.30&
sig=4d7c026abf32d84cc8afb9f36d365e28

FAQ

  1. 为什么总是返回“1000:请求参数数错误”?
  2. 生成sig的时候:
    (1)第一步中,把device也作为签名的因子了。注意sig生成时具体需要包含哪些参数,见各接口参数说明中关于sig的描述。
    (2)第二步中,拼接字符串时,没有将key排序后,再进行key-value字符串拼接。
    (3)第二步中,拼接字符串时,把‘=’,‘&’也放签名原串里面了。注意只拼接key和它对应的value。
    建议开发者按照API接口示例中的HTTP请求源串自行生成sig,然后和示例中的sig进行比对,如果不同,说明生成过程有误,请按步骤仔细检查,重新生成。
  3. 测试环境和正式环境下OpenAPI的IP地址是不一样的,测试联调的IP是119.147.19.43,不要联调到正式环境上。

  4. 如果上述原因都排除,还是出现请求参数错误,请联系腾讯社区开放平台服务团队的支付API技术支持人员,提供同一次请求里面的信息:
    (1)HTTP请求源串。
    (2)实现签名时,做md5前的原串和md5后的签名。

  5. 如果参数中包含URI非法字符,是应该先做urlencode,还是先生成签名?
    服务后台会先对请求包进行URL解码,再对解码后的sig进行校验,因此请先按照上面的步骤生成sig签名值,然后再对请求进行urlencode。

原文链接:https://blog.youkuaiyun.com/litianquan/article/details/78442580

 

其他资料:

java通过sign签名+时间戳的方式防止rest接口被恶意抓包调用和重放

App开放接口api安全性—Token签名sign的设计与实现

开放api接口签名验证,添加sign,时间戳

浅谈URL参数的sign签名认证

 

md5 key java_分别用javajavaScript实现md5验签算法
weixin_31201555的博客
02-18 437
在金融领域,牵涉到下单支付的接口,为了增加接口的安全性(防止中间人攻击),增加md5签名算法。分别用javajavaScript实现,测试签名结果一致,大家可以放心使用md5验签算法主要有以下几步:1,将请求头head和请求体body合并, 并剔除key值为sign的选项,因为签名本身不参与计算;2,将参数名key按照ASCII码从小到大排序(字典序),参数名区分大小写;3,如果key或者va...
java,请求防篡改MD5加密sign签名最终解决方案
weixin_44244644的博客
01-22 1494
第三方接口对接,sign标签生成工具
java md5加密 key_Java MD5加密与RSA加密
weixin_42303078的博客
02-16 231
区别:MD5加密:加密时通过原字符串加密成另一串字符串解密时需要原加密字符串进行重新加密比较两次加密结果是否一致T=RSA加密:加密时通过原字符串生成密钥对(公钥+私钥)解密时通过公钥和私钥进行解密,解密出原字符串进行比较是否一致个人观点:RSA加密略比MD5加密牛逼一点点废话不多说上栗子:MD5加密:package cn.news.util; import java.security.Mess...
java md5 key_【javaMD5加密工具
weixin_29876887的博客
02-21 404
MD5:/*** 对指定字段进行MD5加密* 参数为空或发生异常都会返回 @PASE—_FAIL (-1)* @author ZX* @date 2018年09月10日16:03:07* return String* eg:* 124756EF340DAF80196B4124686D651C* A0C83707B5438E080655DF34A78142F4* F899139DF5E1059396...
md5key 加密
weixin_38238143的博客
04-30 6519
public static string MD5Encrypt(string pToEncrypt, string sKey) { DESCryptoServiceProvider des = new DESCryptoServiceProvider(); byte[] inputByteArray = Encodin...
算法学习:Http请求防篡改签名算法
ctotalk
01-27 240
防篡改原理参数排序 + URL编码 → 确保参数顺序和特殊字符不影响签名HMAC-SHA256 → 比MD5更抗揍的哈希算法密钥隔离存储 → 像极了把工资卡交给老婆保管幽默技术梗把appId比作身份证,sign比作结婚证参数处理流程类比恋爱条款谈判验签失败提示充满「鉴渣文学」气息防御能力参数篡改 → 签名不匹配密钥泄露 → 换密钥如同换对象(需重新生成)重放攻击 → 可添加timestamp参数(像极了恋爱保鲜期)第一次验签结果:true篡改后验签结果:false。
SpringBoot2 API接口签名实现(接口参数防篡改)
weixin_34360651的博客
05-31 9506
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器...
防读取防冒名防篡改防重复(数据统一验证)
fzyr2008的博客
09-25 590
接受方定义:公有KEY,私有KEY 传参体制四部分:公有KEY,时间,排序后加密的body(date)数据,SIGN 通行加密防读取,通过公有KEY查私有KEY,通过私有KEY解密防冒名,通过解密后数据查排序防篡改, 应该还有一部分是通过随机数防重复接收。 package com.idtech.park.filter; import java.io.IOException; import java.io.PrintWriter; import java.nio.charset.Charset; import
Java API加密 从sign签名验证到RSA、AES数据加密的实际应用
HO1_K的博客
11-03 2261
前言 在新一轮需求中,我方系统需要与某一系统进行数据传输,由于这些数据需要保证安全不外泄,并在后期交付时要做等保检测,因此在设计接口实现时,需要保证数据传输的安全性。 一般来说,API接口的安全性能一般要考虑以下几点: 1. 接口请求来源合法。 2. 数据传输途中不能被篡改。 A. 请求参数不能被篡改。 B. 返回结果不能被篡改。 3. 数据加密返回,保证数据安全。 4. 防重放攻击。即将拦截请求的参数,重新用于接口调用。 5. 防伪装攻击。这种情况一般是token被劫持时,攻击者伪.
签名生成及验签
C18298182575的博客
10-10 2228
签名生成及验签实在开放平台中应用,暂时不清楚调用流程及原理 一,生成签名 签名规则 签名sign是通过应用在平台的私钥和请求参数根据一定算法生成的签名值,主要是防止参数在传输过程中被篡改, 同时对调用方的身份进行校验 签名生成步骤: 第1步: 将除签名sign外的所有请求参数按参数名首字母进行升序排序,其中参数包括系统参数和业务参数 第2步:...
md5加密代码_接口测试参数实现MD5加密签名规则
weixin_39533896的博客
12-04 520
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。...
基于appKeymd5的接口加密验签
吹梦到西洲
02-02 776
基于appKeymd5的接口加密验签。
MD5
m0_74331272的博客
12-27 882
虽然 JavaJavaScript 听起来名字像兄弟,但实际上它们是两种完全不同的工具,用于解决不同的任务。虽然 Java 是一种功能强大的编程语言,但它不适合作为前端开发的工具。,可以对输入的字符串或数据生成 MD5 哈希值。,广泛用于密码加密、文件完整性校验、数据签名等场景。
接口测试--参数实现MD5加密签名规则
NHB456789的博客
02-08 419
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。再次请求接口,就可以将参数加密,并且把参数signs1,signs2,signs3等参数存到jmeter变量中,拼接成url请求参数。至此,关于需要对请求参数进行动态加密的接口测试就可以正常进行了,如果需要压测也可以直接使用jmeter进行压测。3.Pre-request-Script中写MD5加密签名规则的脚本。
EIGRP认证配置
weixin_34150830的博客
04-02 286
一、路由器认证 支持简单明文认证的: IS-IS OSPF RIPv2 支持MD5 认证的路由协议: OSPF RIPv2 BGP EIGRP 二、简单密码认证与MD5 认证对比 简单密码认证(可读性密码): 路由器发出路由包以及key. 邻居检查key是不是和它自己的配置key匹配(共享密钥). 处...
Java实现接口防篡改
javaeEEse的博客
05-06 4832
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
使用RSA、MD5对参数生成签名与验签
盐汽水的博客
08-12 8336
在日常的工作中,我们对外提供的接口或调用三方的接口往往有一步生成签名或验签的步骤,这个步骤主要是验证调用方是 不是合法的以及内容是否被修改。比如:对于某些网上公开下载的软件,视频,尤其是镜像文件。如果被修改了可能会导致用不了 或者其他的问题,发布者镜像MD5算法计算一组数值。让下载的用户进行MD5数值对比,也就是MD5校验啦。由于MD5加密不可逆算, 如果数值一样,那就表示文
鸿蒙NEXT开发使用阿里云播放器,怎么安全下载视频
最新发布
03-08
<think>嗯,用户问的是在鸿蒙NEXT开发中使用阿里云播放器安全下载视频的方法。首先,我需要确认几个关键点。鸿蒙NEXT可能指的是HarmonyOS NEXT,也就是华为最新的操作系统版本。阿里云播放器可能是指阿里云提供的视频播放SDK或者相关的云服务。 用户提到的“安全下载视频”可能涉及两个方面:一是下载过程的安全性,比如使用HTTPS、数据加密等;二是下载后的视频存储和访问权限控制,防止未授权访问。需要从这两个方面来考虑解决方案。 首先,下载过程的安全。通常,使用阿里云OSS(对象存储服务)来存储视频文件时,可以通过HTTPS协议进行传输,确保数据在传输过程中不被窃听或篡改。此外,生成临时访问凭证(STS Token)来限制访问权限和时间,避免长期有效的密钥泄露风险。 其次,下载到本地的视频文件如何安全存储。鸿蒙系统提供了沙盒机制,应用的数据存储在私有目录下,其他应用无法访问。需要确保视频文件下载到应用的沙盒目录中,而不是公共目录。另外,可以考虑对本地文件进行加密存储,比如使用AES加密,这样即使设备被root,视频内容也不容易被提取。 然后,关于阿里云播放器的集成。需要查阅阿里云官方文档,确认他们的播放器SDK是否支持HarmonyOS NEXT,以及如何集成到项目中。可能需要添加相关的依赖库,并在代码中初始化播放器,设置正确的鉴权参数。 另外,下载过程中可能涉及权限问题。鸿蒙应用需要声明网络权限和存储权限。在配置文件中请求相应的权限,并确保在运行时处理用户的权限授予。 还需要考虑视频的缓存管理。及时清理不再需要的缓存文件,防止存储空间被占用过多,同时避免敏感数据长期留存。 可能遇到的问题包括:阿里云SDK与HarmonyOS的兼容性问题,临时凭证的生成和刷新机制,本地加密解密性能的影响,以及如何在鸿蒙系统中正确处理文件路径和存储。 总结下来,步骤大致是:配置阿里云OSS和安全凭证,使用HTTPS下载到应用沙盒目录,对文件加密存储,集成播放器SDK并确保播放时解密,管理权限和缓存。同时,需要参考阿里云和鸿蒙的官方文档,确保各项配置正确。</think>在鸿蒙NEXT(HarmonyOS NEXT)开发中集成阿里云播放器并实现安全视频下载,需遵循以下核心步骤与注意事项: --- ### **一、前置准备** 1. **阿里云服务配置** - 开通OSS服务,创建Bucket并设置`HTTPS`访问策略 - 启用RAM访问控制,生成临时安全令牌(STS Token),避免直接使用主账号AK - 在Bucket权限中配置`CORS`规则,限制跨域请求来源 2. **鸿蒙项目配置** ```typescript // module.json5 添加权限 "requestPermissions": [ { "name": "ohos.permission.INTERNET" }, { "name": "ohos.permission.WRITE_USER_STORAGE" } ] ``` --- ### **二、安全下载实现** #### **1. 安全鉴权方案** - **推荐STS临时授权** ```java // 示例:通过后端获取STS Token(需自行实现) String securityToken = getSTSTokenFromServer(); OSSClient ossClient = new OSSClient(context, endpoint, credentialProvider); ``` - **签名URL加密(备选)** ```java GeneratePresignedUrlRequest request = new GeneratePresignedUrlRequest(bucketName, objectKey); request.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)); // 1小时有效期 URL signedUrl = ossClient.generatePresignedUrl(request); ``` #### **2. 下载过程安全** - **强制HTTPS传输** ```java ClientConfiguration conf = new ClientConfiguration(); conf.setProtocol(Protocol.HTTPS); ``` - **文件完整性校验** ```java // 下载完成后校验MD5 String serverETag = ossObject.getObjectMetadata().getETag(); String localMD5 = calculateFileMD5(localPath); if (!serverETag.equals(localMD5)) throw new SecurityException("文件校验失败"); ``` #### **3. 本地存储安全** - **沙盒目录存储** ```java // 获取应用沙盒路径 String safePath = getFilesDir() + "/videos/"; ``` - **文件加密(可选)** ```java // 使用AES加密存储 byte[] encryptedData = CryptoUtils.aesEncrypt(fileData, secretKey); Files.write(encryptedData, new File(safePath + fileName)); ``` --- ### **三、阿里云播放器集成** 1. **添加SDK依赖** ```groovy // 在build.gradle中添加 implementation 'com.aliyun.sdk.android:AlivcPlayer:5.4.6.0' ``` 2. **安全播放示例** ```java AliyunVodPlayer player = new AliyunVodPlayer(context); // 使用加密URL或STS Token鉴权 player.setDataSource(signedUrl, null); player.prepare(); ``` --- ### **四、增强安全建议** 1. **防逆向保护** - 开启鸿蒙应用的代码混淆 - 使用华为HMS Core的[安全检测服务](https://developer.huawei.com/consumer/cn/hms/huawei-safetydetectkit/) 2. **通信安全** - 使用Certificate Pinning防止中间人攻击 - 敏感请求参数进行RSA加密 3. **定期更新** - 及时更新阿里云SDK至最新版本 - 关注鸿蒙安全公告更新 --- ### **五、典型问题排查** - **403权限错误**:检查STS Token有效期(建议设置为900-3600秒) - **播放失败**:确认视频格式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值