zoukankan      html  css  js  c++  java
  • 接口鉴权签名实践

    工作当中不免要与其他的公司进行打交道,比如调用对方的接口完成某项操作,或者提供接口给对方调用,这些接口可能使用者有很多公司,为了保证接口的安全性,需要设计一些方式来对接口进行保护,常见的保护措施有 IP 白名单与接口签名。
    IP 白名单这种方式就不多说很简单,判断接口调用者 IP 是否在设定的白名单 IP 之中即可。但是 IP 白名单这种方式有个弊端就是维护白名单 IP 列表成了体力活,调用方增加服务器或者减少服务器就要更新白名单,对于接口提供方不是很友好,最好使用签名的方式一劳永逸,因此本文主要讲讲常用的接口签名方式,主要应用与服务端与服务端之间的接口交互。
    因为生成签名过程中使用到了 appSecret,因此这种方式最好不要用于客户端与服务端之间的接口加密,appSecret 写死在 APP 中,逆向技术获取不是太困难的事情,当然非要使用,appSecret 最好通过登录时动态生成,写死的方式一向是不推荐的做法。

    本文首发个人技术博客:http://nullpointer.pw/interface-authentication.html

    接口签名作用

    接口签名解决了如下这些问题:

    • 防止接口非法调用
    • 防止接口参数被篡改
    • 防止接口过期参数请求
    • 防止接口请求重放

    接口签名方式

    一般来说,接口签名方式主要是这样的,所有的接口都需要传递这几个公共参数appKeysigntimestampnonce,sign 的计算规则为

    1. 拼接接口的所有参数,参数名按照 ASCII 码从小到大排序(字典序),拼接的格式如 k1=v1&k2=v2&k3=v3 得到 params
    2. Base64(HMAC_SHA1(params, appSecret)),得到 sign 值
    3. sign 加到参数中,发送请求目标接口
      以上就是生成签名的过程。

    验证签名的过程与之相同,就是从请求中提取所有的参数(除去 sign),然后同样的方式生成签名,然后将签名结果与请求中的 sign 参数进行比较,如果一致则验签成功否则失败。为了保证接口参数的时效性,一般会在验签之前校验 timestamp 参数是否超时,比如与当前时间相差 10 分钟则直接提示验签失败。另外为了防止请求重放,即相同参数不可重复请求,可以通过将 nonce 参数进行缓存,比如防止到 Redis 当中,设置 10 分钟的有效期,如果 nonce 存在与缓存中则提示验签失败,这样便通过 nonce 配合 timestamp 实现了请求重放。

    话不多少,开始实践一下~

    为了方便演示,就再 main 方法中实现签名与验签的逻辑。
    在日常开发中,可以集成为 springboot starter,通过拦截器进行统一校验。如何自定义 springboot starter,可以参考我上一篇文章:实用主义之自定义 SpringBootStarter

    依赖添加

    因为加密算法使用到了开源工具包 commons-codec,先添加这个依赖

    <dependency>
      <groupId>commons-codec</groupId>
      <artifactId>commons-codec</artifactId>
      <version>1.14</version>
    </dependency>
    

    生成签名与验签

    import org.apache.commons.codec.binary.Base64;
    import org.apache.commons.codec.digest.HmacAlgorithms;
    import org.apache.commons.codec.digest.HmacUtils;
    
    import java.time.Duration;
    import java.time.Instant;
    import java.time.LocalDateTime;
    import java.time.ZoneOffset;
    import java.util.*;
    
    import static java.time.temporal.ChronoUnit.SECONDS;
    
    /**
     * @author WeJan
     * @since 2020-05-31
     */
    public class AuthTest {
    
        public static void main(String[] args) {
            System.out.println("********************************* 签名 *********************************");
    //        long timestamp = LocalDateTime.now().plusMinutes(-10).toInstant(ZoneOffset.ofHours(8)).toEpochMilli();
            long timestamp = System.currentTimeMillis();
            String appKey = "testtest";
            String appSecret = "123456";
    
            Map<String, String> map = new HashMap<>();
            map.put("appKey", appKey);
            map.put("k1", "k1");
            map.put("k2", "k2");
            map.put("timestamp", String.valueOf(timestamp));
            String outSignData = getSignData(map);
            byte[] hmac = new HmacUtils(HmacAlgorithms.HMAC_SHA_1, appSecret).hmac(outSignData);
            String sign = new String(Base64.encodeBase64(hmac));
            map.put("sign", sign);
            System.out.println("outSign: " + sign);
            System.out.println("outSignData: " + outSignData);
            String outParams = JSONObject.toJSONString(map);
            System.out.println("outParams: " + outParams);
    
            System.out.println("
    
    ********************************* 验签 *********************************");
            Map<String, String> inMap = JSONObject.parseObject(outParams, new TypeReference<Map<String, String>>() {
            });
            // 校验请求是否过期
            String inTimeStamp = inMap.getOrDefault("timestamp", "0");
            LocalDateTime inTime = LocalDateTime.ofInstant(Instant.ofEpochMilli(Long.parseLong(inTimeStamp)), ZoneOffset.ofHours(8));
            Duration duration = Duration.between(inTime, LocalDateTime.now());
            long seconds = duration.get(SECONDS);
            System.out.println("seconds: " + seconds);
            if (seconds > 10 * 60) {
                System.out.println("请求超时");
                return;
            }
            String inSignData = getSignData(inMap);
            System.out.println("inSignData: " + inSignData);
            byte[] inHmac = new HmacUtils(HmacAlgorithms.HMAC_SHA_1, appSecret).hmac(inSignData);
            String sign2 = new String(Base64.encodeBase64(inHmac));
            System.out.println("sign2: " + sign2);
            System.out.println("验签结果: " + sign.equals(sign2));
        }
    
        public static String getSignData(Map<String, String> params) {
            StringBuilder content = new StringBuilder();
            // key 自然排序
            List<String> keys = new ArrayList<>(params.keySet());
            Collections.sort(keys);
    
            for (int i = 0; i < keys.size(); i++) {
                String key = keys.get(i);
                if ("sign".equals(key)) {
                    continue;
                }
                String value = params.get(key);
                if (value != null) {
                    content.append(i == 0 ? "" : "&").append(key).append("=").append(value);
                } else {
                    content.append(i == 0 ? "" : "&").append(key).append("=");
                }
            }
    
            return content.toString();
        }
    }
    

    运行结果:

    ********************************* 签名 *********************************
    outSign: eADUCnVqcArdexcdMVcHkPJQyXU=
    outSignData: appKey=testtest&k1=k1&k2=k2&timestamp=1590996917340
    outParams: {"k1":"k1","k2":"k2","sign":"eADUCnVqcArdexcdMVcHkPJQyXU=","appKey":"testtest","timestamp":"1590996917340"}
    
    ********************************* 验签 *********************************
    seconds: 0
    inSignData: appKey=testtest&k1=k1&k2=k2&timestamp=1590996917340
    sign2: eADUCnVqcArdexcdMVcHkPJQyXU=
    验签结果: true
    
  • 相关阅读:
    j.u.c系列(01) ---初探ThreadPoolExecutor线程池
    mySql---or和in的效率问题(和<=、>=、between之间的关系)
    spring---aop(10)---Spring AOP中AspectJ
    spring---aop(9)---Spring AOP中引入增强
    设计模式系列---适配器模式
    spring---aop(8)---Spring AOP中optimize
    spring---aop(7)---Spring AOP中expose-proxy介绍
    spring---aop(6)---Spring AOP中ProxyFactoryBean介绍
    spring---aop(5)---Spring AOP的配置的背后的配置
    spring---aop(4)---Spring AOP的CGLIB动态代理
  • 原文地址:https://www.cnblogs.com/vcmq/p/13055437.html
Copyright © 2011-2022 走看看