脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Java API签名校验

Java实现API sign签名校验的方法详解

 更新时间:2022年07月12日 11:00:38   作者:TopDuang  
为了防止中间人攻击,有时我们需要进行API sign 签名校验。本文将用Java语言实现API sign 签名校验,感兴趣的小伙伴可以尝试一下

1. 前言

目的:为防止中间人攻击。

场景:

  • 项目内部前后端调用,这种场景只需要做普通参数的签名校验和过期请求校验,目的是为了防止攻击者劫持请求 url 后非法请求接口。
  • 开放平台向第三方应用提供能力,这种场景除了普通参数校验和请求过期校验外,还要考虑 3d 应用的授权机制,不被授权的应用就算传入了合法的参数也不能被允许请求成功。

2. 签名生成策略

接下来详述场景 2,其实场景 1 也包含在场景 2 内部。

1.举例请求 url:

http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10

请求参数为:

参数名位置备注举例
X-Access-Keyheader客户端授权码,服务端提供,和 accessSecret 配对(场景 1 无此参数)app1
X-Access-Tokenheader当前登录用户 tokend7b5808c3f443eb5a496225468c7e4a5
X-UTCTimeheader当前发送请求时的时间2022-02-16T09:12:43.083Z
X-Randomheader请求随机数341be97d9aff90c9978347f66f945b77
orderTypequery订单类型1001
requestFromquery订单来源IOS
pageNumquery分页参数10
pageSizequery分页参数2

2.设原始参数为 stringA,stringA 中添加 X-Access-Key、X-UTCTime、X-Random 固定参数,将 stringA 内非空参数值和 header 的参数按照参数名 ASCII 码从小到大排序(字典序),使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 stringB。

注意如下规则:

  • 参数名 ASCII 码从小到大排序(字典序);
  • 如果参数的值为空不参与签名;
  • 参数名区分大小写;
  • 验证调用返回或主动通知签名时,传送的 sign 参数不参与签名,将生成的签名与该 sign 值作校验。
// 最终拼接为stringB:
orderType=1001X-UTCTime=2022-02-16T09:12:43.083ZpageSize=10X-Access-Key=app1X-Access-Token=d7b5808c3f443eb5a496225468c7e4a5pageNum=2requestFrom=IOSX-Random=341be97d9aff90c9978347f66f945b77

3.在 stringB 最后拼接上 accessSecret (密钥) 得到 stringC 字符串,并对 stringC 进行 MD5 运算,得到 sign 值。

// 最后拼上accessSecret得到stringC:
orderType=1001X-UTCTime=2022-02-16T09:12:43.083ZpageSize=10X-Access-Key=app1X-Access-Token=d7b5808c3f443eb5a496225468c7e4a5pageNum=2requestFrom=IOSX-Random=341be97d9aff90c9978347f66f945b77&accessSecret=192006250b4c09247ec02edce69f6a2d
// md5加密得到最终签名结果sign:
sign=e1a4907ef03adee3fa8d395552814f4e

4.将原始的请求 url 拼接上 sign 形成最终的请求 url。

http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10&sign=0f5a3cc534961d129a25d52d7ed8d003

5.最终请求 url 如下:

http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10&sign=0f5a3cc534961d129a25d52d7ed8d003

参数名位置备注举例
X-Access-Keyheader客户端授权码,服务端提供,和 accessSecret 配对(场景 1 无此参数)app1
X-Access-Tokenheader当前登录用户 tokend7b5808c3f443eb5a496225468c7e4a5
X-UTCTimeheader当前发送请求时的时间2022-02-16T09:12:43.083Z
X-Randomheader请求随机数341be97d9aff90c9978347f66f945b77
orderTypequery订单类型1001
requestFromquery订单来源IOS
pageNumquery分页参数10
pageSizequery分页参数2

6.服务端 gateway 同样做 sign 签名加密和校验,如果校验不通过则说明请求非法,直接拒绝,通过则下发到业务服务进行正常请求处理。

3. API 签名算法 Java 实现

public class SignUtil {

    /**
     * 生成签名
     *
     * @param accessSecret accessSecret
     * @param url          url
     * @param headers      headers
     * @param body         post的body体
     * @param <T>          body体泛型
     * @return sign
     */
    public static <T> String sign(String accessSecret, String url, Map<String, Object> headers, T body) throws IllegalAccessException {
        Map<String, Object> signMap = new HashMap<>();
        if (headers != null) {
            signMap.putAll(headers);
        }
        Map<String, Object> paramMap = getUrlParams(url);
        if (paramMap != null) {
            signMap.putAll(paramMap);
        }
        Map<String, Object> bodyMap = getBodyParams(body);
        if (bodyMap != null) {
            signMap.putAll(bodyMap);
        }

        StringBuffer sb = new StringBuffer();
        signMap.forEach((k, v) -> {
            sb.append(k).append("=").append(v).append("&");
        });
        sb.append("accessSecret=").append(accessSecret);
        return stringToMD5(sb.toString());
    }

    private static Map<String, Object> getUrlParams(String url) {
        if (StringUtils.isBlank(url) || !url.contains("?")) {
            return null;
        }
        Map<String, Object> paramMap = new HashMap<>();
        String params = url.split("\\?")[1];
        for (String param : params.split("&")) {
            String[] p = param.split("=");
            paramMap.put(p[0], p[1]);
        }
        return paramMap;
    }

    private static <T> Map<String, Object> getBodyParams(T body) throws IllegalAccessException {
        if (body == null) {
            return null;
        }
        Map<String, Object> bodyMap = new HashMap<>();
        for (Field field : body.getClass().getDeclaredFields()) {
            field.setAccessible(true);
            bodyMap.put(field.getName(), field.get(body));
        }
        return bodyMap;
    }

    private static String stringToMD5(String plainText) {
        byte[] secretBytes = null;
        try {
            secretBytes = MessageDigest.getInstance("md5").digest(
                    plainText.getBytes());
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException("没有这个md5算法!");
        }

        return new BigInteger(1, secretBytes).toString(16);
    }
}

4. 测试一下

public class App {
    public static void main(String[] args) throws IllegalAccessException {
        String url = "http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10";
        Map<String, Object> headerMap = new HashMap<>();
        headerMap.put("X-Access-Key", "app1");
        headerMap.put("X-Access-Token", "d7b5808c3f443eb5a496225468c7e4a5");
        headerMap.put("X-UTCTime", generateDate());
        headerMap.put("X-Random", "341be97d9aff90c9978347f66f945b77");
        BodyVO body = new BodyVO(100000001L, "yangcan", new Date());

        String sign = SignUtil.sign("sdfsdfdsfdsfds", url, headerMap, body);
        System.out.println(sign);
    }

    /**
     * 获取当前时间的UTC格式
     */
    private static String generateDate() {
        Date now = new Date();
        DateFormat format = new SimpleDateFormat("EEE MMM dd HH:mm:ss z yyyy", Locale.US);
        return format.format(now);
    }

    @Data
    @AllArgsConstructor
    public static class BodyVO {
        private Long ycId;
        private String ycName;
        private Date ycTime;
    }
}

输出:

sign = 4f52eb34b30129a8d511dc803044086b

到此这篇关于Java实现API sign签名校验的方法详解的文章就介绍到这了,更多相关Java API签名校验内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • MyBatis-Plus 修改和添加自动填充时间方式

    MyBatis-Plus 修改和添加自动填充时间方式

    这篇文章主要介绍了MyBatis-Plus 修改和添加自动填充时间方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-08-08
  • Mac系统搭建JDK及JMETER过程解析

    Mac系统搭建JDK及JMETER过程解析

    这篇文章主要介绍了Mac系统搭建JDK及JMETER过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-08-08
  • 如何在 Java 中实现一个 redis 缓存服务

    如何在 Java 中实现一个 redis 缓存服务

    为什么要使用缓存?说到底是为了提高系统的运行速度。将用户频繁访问的内容存放在离用户最近,访问速度最快的地方,提高用户的响应速度。下面我们来一起深入学习一下吧
    2019-06-06
  • SpringBoot利用切面注解及反射实现事件监听功能

    SpringBoot利用切面注解及反射实现事件监听功能

    这篇文章主要介绍了springboot事件监听,通过利用切面、注解、反射实现,接下来将对这几种方式逐一说明,具有很好的参考价值,希望对大家有所帮助
    2022-07-07
  • java 工厂模式的实例详解

    java 工厂模式的实例详解

    这篇文章主要介绍了java 工厂模式的实例详解的相关资料,这里举例说明该如何实现工厂模式,需要的朋友可以参考下
    2017-09-09
  • linux重启java服务的脚本

    linux重启java服务的脚本

    这篇文章主要介绍了linux重启java服务的脚本,本文分步骤通过shell脚本给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-07-07
  • SpringMVC空指针异常NullPointerException解决及原理解析

    SpringMVC空指针异常NullPointerException解决及原理解析

    这篇文章主要介绍了SpringMVC空指针异常NullPointerException解决及原理解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-08-08
  • Java @Autowired报错原因分析和4种解决方案

    Java @Autowired报错原因分析和4种解决方案

    这篇文章主要介绍了Java @Autowired报错原因分析和4种解决方案,文章围绕主题展开详细内容介绍,具有一定的参考价值,需要的小伙伴可以参考以一下
    2022-05-05
  • SpringBoot Shiro授权实现过程解析

    SpringBoot Shiro授权实现过程解析

    这篇文章主要介绍了SpringBoot Shiro授权实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-11-11
  • java对接微信小程序详细流程(登录&获取用户信息)

    java对接微信小程序详细流程(登录&获取用户信息)

    这篇文章主要给大家介绍了关于java对接微信小程序(登录&获取用户信息)的相关资料,我们在开发微信小程序时经常需要获取用户微信用户名以及头像信息,微信提供了专门的接口API用于返回这些信息,需要的朋友可以参考下
    2023-08-08

最新评论