接口参数加密+时效性检验+签名

已于 2022-06-15 14:40:03 修改
阅读量4.3k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: API 加密
于 2018-11-15 20:38:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zimojiang/article/details/84110555
本文探讨了API接口的安全措施,包括参数加密、时效性检验及签名验证,通过实例展示了如何利用公钥、时间戳和私钥签名来保护API接口,防止未授权访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个API就是一把开启神圣之门的钥匙.
只有我的子民才能拿着它,
进入我的王国中.

API裸奔,接口暴露, 大门敞开,任何人都可以进入…
接口参数加上公钥,是我发给子民的一把钥匙 . 当一个小偷, 在某个夜黑风高的晚上拿走了这把钥匙, 它也能瞥见我王国的一面.
然后我会在接口参数中再加上时间戳,这是一把带有时间属性的钥匙.只要过了一定的时间,这把钥匙就会失效.就算小偷拿了这把钥匙,时间一过,也就会不起作用.
然而,小偷勤快的,按时蹲点.还是成功的偷走既具时效性,也有公钥的钥匙.
最终, 我吩咐大门守卫,一定要对的上暗号的才能进入.这是加入私钥的签名.

以上, API接口参数加密+ 时效性检验+ 签名.

TestUserController .java


    /**  
    * @Title: TestUserController.java
    * @Package com.jzt.ssm.controller
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.controller;

import java.util.Date;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.TreeMap;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.jzt.ssm.po.Result;
import com.jzt.ssm.po.UserCustom;
import com.jzt.ssm.service.UserinfoService;
import com.jzt.ssm.util.MD5;

    /**
 * @ClassName: TestUserController
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

@Controller
public class TestUserController {
	@Autowired
	private UserinfoService userinfoService;
	/**
	 * 
	 * 
	 * 用户登录
	    * @Title: userLogin
	    * 
	    * @param user(用户名+密码+公钥+时间戳)
	    * @return 登录成功,true,否则 false
	    * 
	    * @author jzt
	 * @throws Exception 
	 */
	@RequestMapping("/userLogin")
	public @ResponseBody Result userLogin(UserCustom user) throws Exception{
		Result result = new Result();
		
		//获得时间戳
		Date timeStamp = user.getTimeStamp();
		Map<String,String> keys = new HashMap<>();
		Date date = new Date();
		if(user.getTimeStamp()==null||timeStamp.getTime()==0||timeStamp.getTime()+ 20000 > date.getTime()){//接口时间失效
			result.setMessage("接口时效失效");
			result.setReturnCode(-1);
		}
		
		if(user.getAccessKey()==null||user.getAccessKey()==""||!keys.containsKey(user.getAccessKey())){ //后台没有该公钥
			result.setMessage("后台没有该公钥");
			result.setReturnCode(-2);
		}
		//公钥 + 私钥
		keys.put("zhangshan", "sdjfkasdgnkdkgdkjdlkg");
		keys.put("lisi", "sddsgjgjkljdgdjjgkfdkfdg");
		
		//使用TreeMap进行升序排
		Map<String,Object> params = new TreeMap<>();
		
		if(user.getAccessKey()!=null) params.put("accessKey", user.getAccessKey());
		if(user.getPassWd()!=null) params.put("passWd", user.getPassWd());
		if(user.getTimeStamp()!=null) params.put("timeStamp", user.getTimeStamp());
		if(user.getUserName()!=null) params.put("userName", user.getUserName());
		params.put("secretKey", keys.get(user.getAccessKey()));
		String paramsStr = "";
		Set<String> keySet = params.keySet();
		Iterator<String> it = keySet.iterator();
		while(it.hasNext()){
			Object key = it.next();
			Object value = params.get(key);
			paramsStr+= key+  "=" + value +"&";
		}
		paramsStr = paramsStr.substring(0,paramsStr.length()-1);
		String sign = MD5.encodeByMD5(paramsStr).toUpperCase();
		if(!sign.equals(user.getSign())){
			result.setMessage("签名失败");
			result.setReturnCode(-3);
		}
		Boolean checklogin = userinfoService.checklogin(user.getUserName(), user.getPassWd());
		if(checklogin){
			result.setMessage("登录成功");
			result.setReturnCode(1);
		}else{
			result.setMessage("用户或密码错误");
			result.setReturnCode(0);
		}
		return result;
		
	}
	

}
MD5.java

    /**  
    * @Title: MD5.java
    * @Package com.jzt.ssm.util
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.util;

import java.security.MessageDigest;


    /**
 * @ClassName: MD5
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class MD5 {
	/** 十六进制下数字到字符的映射数组 */
	  private final static String[] hexDigits = { "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c", "d", "e", "f" }; 
	  /**
     * 对字符串进行MD5编码
     * @param originString
     * @return
     */ 
	  public static String encodeByMD5(String originString) {
		  if (originString != null){
			  try { 
				  MessageDigest md = MessageDigest.getInstance("MD5");
				  byte[] results = md.digest(originString .getBytes());
				  String resultString = byteArrayToHexString(results); 
				  return resultString.toUpperCase(); 
				  } catch (Exception ex) {
					  ex.printStackTrace(); 
					  } 
			  } 
		  return null; 
		  } 
	  /**
     * 转换字节数组为16进制字串
     * 
     * @param b  字节数组
     * @return 十六进制字串
     */ 
	  private static String byteArrayToHexString(byte[] b) {
		  StringBuffer resultSb = new StringBuffer(); 
		  for (int i = 0; i < b.length; i++) { 
			  resultSb.append(byteToHexString(b[i]));
			  } 
		  return resultSb.toString(); 
		  } 
	  /**
     * 将一个字节转化成16进制形式的字符串
     * @param b
     * @return
     */ 
	  private static String byteToHexString(byte b) {
		  int n = b; 
		  if (n < 0) 
			  n = 256 + n; 
		  int d1 = n / 16; 
		  int d2 = n % 16; 
		  return hexDigits[d1] + hexDigits[d2]; 
	}	
}
User.java和UserCustom.java

    /**  
    * @Title: User.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;


    /**
 * @ClassName: User
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class User {
	private String userName;
	private String passWd;
	public String getUserName() {
		return userName;
	}
	public void setUserName(String userName) {
		this.userName = userName;
	}
	public String getPassWd() {
		return passWd;
	}
	public void setPassWd(String passWd) {
		this.passWd = passWd;
	}
}



    /**  
    * @Title: UserCustom.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;

import java.util.Date;


    /**
 * @ClassName: UserCustom
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class UserCustom extends User {
	
	
	//时间戳
	private Date timeStamp;
	//公钥
	private String accessKey;
	
	//签名
	private String sign;
	
	public String getSign() {
		return sign;
	}
	public void setSign(String sign) {
		this.sign = sign;
	}
	public Date getTimeStamp() {
		return timeStamp;
	}
	public void setTimeStamp(Date timeStamp) {
		this.timeStamp = timeStamp;
	}
	public String getAccessKey() {
		return accessKey;
	}
	public void setAccessKey(String accessKey) {
		this.accessKey = accessKey;
	}
	
	

}
Result.java

    /**  
    * @Title: Result.java
    * @Package com.jzt.ssm.po
    * 
    * @author jzt
    * @date 2018-11-15
    * @version V1.0  
    */
    
package com.jzt.ssm.po;


    /**
 * @ClassName: Result
 * 
 * @author jzt
 * @date 2018-11-15
 *
 */

public class Result {
	private String message;
	private int returnCode;
	public String getMessage() {
		return message;
	}
	public void setMessage(String message) {
		this.message = message;
	}
	public int getReturnCode() {
		return returnCode;
	}
	public void setReturnCode(int returnCode) {
		this.returnCode = returnCode;
	}
	
}
【爬虫逆向实战篇】巧妙定位加密参数、断点调试与JS代码分析
吴秋霖的博客
02-25 8010
爬虫JS逆向实战教程:定位加密参数、断点调试与分析实战
从攻击者视角看接口加密:基于 Spring Boot 的接口安全防护实践
秋雨 De Blog
10-20 955
加密的数据在传输过程中极易被拦截,尤其是在分布式架构中,接口调用频繁且复杂,难以全面监控。因此,如何确保数据在传输过程中的完整性,以及在意外修改中迅速恢复是我们需要深入探讨的问题。利用 Spring Boot 强大的整合能力,实现从公钥分发到请求验证的整个闭环流程,确保了安全的同时未显著影响系统性能。同时,与应用层面的全面安全策略结合,形成一套综合性防御体系,以应对不断变化与升级的安全挑战。通过这篇文章,希望能够为有类似需求的开发者提供一些思路和实践建议,使得大家在接口安全设计上有更多的参考和创新。
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
接口签名算法
qq_36981190的博客
08-23 715
sha1和MD5算法加密
Spring Boot接口加密:筑牢数据安全防线
qq_36984455的博客
06-27 1670
本文探讨了SpringBoot接口加密的最佳实践,针对接口安全面临的数据窃取、篡改和重放攻击三大挑战,提出了基于RSA和AES算法的加密解决方案。文章详细介绍了RSA算法的非对称加密实现,包括密钥生成、配置方法和接口应用;同时阐述了AES对称加密的原理、密钥管理策略及代码实现。针对请求流读取问题,提出了请求包装器的解决方案。此外,还介绍了参数校验框架validation的使用和自定义异常处理机制。最后通过电商项目案例,展示了AES结合ControllerAdvice的实际应用效果及性能优化方向。
java api接口加密_如何写出安全的API接口参数加密+超时处理+私钥验证+Https)...
weixin_28873283的博客
02-16 959
原文:http://www.cnblogs.com/codeon/p/6123863.html#35803511.完全开放的接口有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。实话说,这样的接口我们天天都在接触,你查快递,你查天气预报,你查飞机,火车班次等,这些都是有公共的接口。我把这称之为裸奔时代。代码如下:/// /// 接口对外公开//...
接口安全 时效性+签名+数据加密
@龙猫的博客
09-11 8097
导入maven依赖 <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.11</version> </dependency> <de...
时间日期校验接口
weixin_30552811的博客
10-24 434
http://www.k780.com/api/life.time# http://api.k780.com:88/?app=life.time&appkey=10003&sign=b59bc3ef6191eb9f747dd4e83c99f2a4&format=json 原调用方式:http://api.k780.com/?app=***&appkey=***...
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
caixiangting的博客
07-17 1261
Token访问令牌accesstoken,用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。timestamp时间戳,是客户端调用接口时对应的当前时间戳,时间戳用于防止DoS攻击。nonce随机值,是客户端随机生成的值,作为参数传递过来,随机值的目的是增加sign签名的多变性。...
【盛付通接口数据加密与保护机制】:保护交易安全的核心技术
文章首先概述了盛付通接口的基本需求与安全考量,随后深入探讨了数据加密技术在交易数据安全保护中的应用,包括加密算法选择和证书密钥管理。在认证与授权机制章节,文章介绍了用户认证方法和接口访问控制的策略。...
【实时数据处理与传输】:提升STM32环境监测系统的时效性
[【实时数据处理与传输】:提升STM32环境监测系统的时效性](https://deepbluembedded.com/wp-content/uploads/2020/06/STM32-ADC-Example-HAL-Code-And-CubeMX-Configurations-1024x523.jpg) # 1. 实时数据处理与...
关于支付宝通知接口中,notify id的时效性
ximenxiafeng的专栏
05-25 5859
当支付宝的接口存在页面跳转同步通知方式或服务器异步通知方式时,notify_id基本会在通知返回的url中出现。Notify_id是帮助商户校验商户获取的信息是否是支付宝发来的,这其中也包含了notify_id的时效性问题。 在页面跳转同步通知方式里(return_url),notify_id的有效性一般为1分钟,且在有效期内支持重复使用校验。 在服务器异步通知方式里(notify_url),
API开发之接口安全(三)----sign有效时间
weixin_30407099的博客
08-16 508
之前生成的sign和校验sign我们已经完全掌握了、但是仅仅凭借这样的sign是无法满足我们的需求的,如果一个黑客通过抓包抓到你的数据 他可以去修改你的header为这样的 body为那样的 也是可以通过sign校验的 那么我们怎么解决呢 下面将详细的 为大家解说 首先想到这样的一个问题 我么首先应当考虑到的就是sign的时效性问题 如果 我们的sign只有十秒的时间 那就算抓包 他也...
接口加密处理
weixin_40611700的博客
11-30 4266
如何处理接口加密
Jmeter接口测试-MD5加密-请求验签(完整流程)
01-04 1441
第一部分:先准备好Jmeter 1.在开始编写脚本之前,先要确保你的Jmeter能够正常运行。若你还没有安装Jmeter,可参考以下方法: A.Jmeter需要java运行环境,所以需要下载JDK,JDK下载地址:https://www.oracle.com/technetwork/java/javase/downloads/index.html (最好使用 JDK 8 以...
时效性解读
fenwei88的博客
01-13 9168
一:什么是时效性 1。时效性是指用户对搜索结果新旧程度的感知 2。时效性的重要性 对于用户来说:在满足需求的前提下,用户天然希望获得相对新鲜的资源。 对于开发者来说:持续生产时效性高的优质内容,有利于获得更多内容分发机会。 3。时效性内容的分类: 受时间影响较大的内容(比如新闻事件、周期性更新的资源和持续更新的资源>天气预报/第63届格莱美获奖名单) 比较稳定的内容(固定答案、长期不变的资源、更新已完结或明确指向的资源>甄嬛传70级已完结/通州人民政府所在地) 二:时间因子 1
用java常用加密,解密,数字签名等常用API
设计模式空间
03-29 1148
常用API java.security.KeyPairGenerator 密钥生成器类public static KeyPairGenerator getInstance(String algorithm) throws NoSuchAlgorithmException以指定的算法返回一个KeyPairGenerator 对象参数: algorithm 算法名.如:"DSA","RSA"p
浅谈接口加密
闪亮伞的博客
07-24 2850
客户端在跟服务端进行数据交互的时候,比如登录操作,打开调试窗口,我们在输入用户名密码之后点击登录,可以看到我们调用的登录接口,在接口的返回数据中,可以看到登录的用户名和密码是明文显示,说明该接口没有进行加密操作。如果一个登录接口加密的,那么我们在接口工具中直接使用用户名、密码登录是无法登录成功的,即使你的用户名密码正确,他还是会提示你的用户名密码不正确。......
接口优化实践
weixin_41882200的博客
05-11 211
前言 最近对外接口偶现504超时问题,原因是代码执行时间过长,超过nginx配置的15秒,然后真枪实弹搞了一次接口性能优化。在这里结合优化过程,总结了接口优化的八个要点,希望对大家有帮助呀~ 数据量比较大,批量操作数据入库 耗时操作考虑异步处理 恰当使用缓存 优化程序逻辑、代码 SQL优化 压缩传输内容 考虑使用文件/MQ等其他方式暂存,异步再落地DB 跟产品讨论需求最恰当,最舒服的实现方式 嘻嘻,先看一下我们对外转账接口的大概流程吧 1.数据量比较大,批量操作数据入库 优化前: //for循环单笔入
接口安全性
最新发布
08-03
<think>嗯,用户这次的问题聚焦在API接口安全防护上,结合之前讨论的MVCC技术背景,ta可能是在设计电商系统时考虑到全链路安全——从数据库并发控制到对外接口防护。用户引用的三份材料都强调API作为数据交换通道的脆弱性,特别是未授权访问和注入攻击风险。 从实际架构角度看,API安全需要分层实施:最外层是传输加密,中间是身份认证和权限控制,最内层是数据操作安全。用户提到的HTTPS[^1]属于基础传输层防护,但真正的难点在于如何精细控制数据访问权限。比如电商场景中,订单查询API需要确保用户只能查自己的订单,而商家管理后台的API要防止越权访问其他店铺数据。 注意到用户引用材料中特别提到某电商平台因API漏洞导致数据泄露的案例[^2],这说明攻击者往往利用业务逻辑漏洞而非技术漏洞。因此除了常规的JWT和OAuth方案,还需要关注:1)接口参数的业务合法性校验(如防止通过篡改user_id参数越权);2)敏感数据返回时的脱敏规则(如银行卡号只显示后四位)。 另外,用户之前研究过MVCC的版本控制机制,这个思路其实可以延伸到API安全领域——为每个API请求创建带有时效性的访问凭证(类似Read View的事务快照概念),确保即使凭证泄露,攻击者也无法获取最新数据。这种动态凭证机制在金融行业API设计中应用广泛。 最后,用户没有明确说明当前系统阶段,但提到“防止数据泄露和非法访问”这个双重目标,建议补充回答中关于API调用行为监控的部分,因为事后审计往往是发现未授权访问的最后防线。</think>保障API接口安全需要构建多层次防护体系,以下是关键措施及实现方案: --- ### 一、认证与授权机制 1. **严格身份认证** - **OAuth 2.0/OpenID Connect**: ```mermaid graph LR A[客户端] -->|请求授权| B(授权服务器) B -->|发放Access Token| A A -->|携带Token访问| C[资源服务器] C -->|验证Token| D[返回数据] ``` - **JWT(JSON Web Token)**: 使用数字签名验证Token完整性,示例结构: `Header.Payload.Signature` 通过`RS256`非对称加密防止篡改[^1] 2. **精细化权限控制** - **RBAC(基于角色的访问控制)**: ```python # 伪代码示例 def check_permission(user_role, api_endpoint): return user_role in permissions_map[api_endpoint] ``` - **ABAC(基于属性的访问控制)**: 动态评估请求属性(如IP、时间、设备指纹) --- ### 二、数据传输防护 1. **强制HTTPS加密** - 启用TLS 1.3+协议 - 配置HSTS(HTTP Strict Transport Security) `Strict-Transport-Security: max-age=31536000; includeSubDomains` 2. **敏感数据额外加密** - 端到端加密(E2EE): ```mermaid graph LR 客户端 -->|AES-256加密数据| 服务端 服务端 -->|解密后处理| 业务系统 ``` - 支付类接口使用**国密SM4算法** --- ### 三、输入输出安全 1. **输入验证与过滤** - 正则表达式校验参数格式: `^[a-zA-Z0-9_]{4,20}$`(用户名规则) - 参数化查询防止SQL注入: ```java // Java PreparedStatement示例 String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement stmt = conn.prepareStatement(sql); stmt.setInt(1, userId); ``` 2. **输出敏感数据脱敏** ```python # 手机号脱敏示例 def mask_phone(phone): return phone[:3] + "****" + phone[7:] ``` 3. **速率限制(Rate Limiting)** - 令牌桶算法控制访问频率: ``` X-RateLimit-Limit: 100 X-RateLimit-Remaining: 75 X-RateLimit-Reset: 1663686000 ``` --- ### 四、进阶防护策略 | **防护层** | **技术方案** | **作用** | |------------------|----------------------------------|------------------------------| | API网关 | Kong/Apache APISIX | 统一入口管理、流量控制 | | Web应用防火墙 | ModSecurity/云WAF | 阻断SQL注入、XSS攻击 | | 审计日志 | ELK(Elasticsearch, Logstash, Kibana) | 记录所有API请求 | | 密钥管理 | HashiCorp Vault/AWS KMS | 安全存储API密钥 | --- ### 五、持续安全实践 1. **渗透测试** 定期执行: - Burp Suite扫描API端点 - OWASP ZAP漏洞检测 2. **安全开发流程** ```mermaid graph LR A[需求设计] --> B[威胁建模] B --> C[安全编码] C --> D[自动化扫描] D --> E[人工审计] E --> F[上线监控] ``` 3. **实时监控告警** - 异常行为检测:同一IP每秒>50次调用触发告警 - 敏感操作二次认证(如删除API) > **关键提示**:电商平台需特别关注订单查询、支付回调等高风险接口,建议对这类接口实施**双向证书认证**(mTLS)[^3]。 ---
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涛歌依旧fly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值