API接口签名验证

本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
简介: 过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。

一、使用背景

过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。


但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。


即存在以下安全问题:

  • 请求身份是否合法
  • 请求参数是否被篡改


为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。


二、实现方案

既然要实现接口只能被客户端请求,那么我们不难想到可以与客户端达成某些约定,让客户端按一定的规则发送请求。


只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。


这样的方案可以使得用户即使拿到了token没有私钥的话加密后的数据与服务端加密后的肯定不相同而无法通过验证。篡改参数同样会产生相同的问题,从而保证了接口的安全性。


三、具体流程

  • 按照请求参数名的字母升序排列非空请求参数(包含accesskey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串A;
  • 在字符串A最后拼接上secretkey得到字符串B;
  • 对B进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值;
  • 携带参数accesskey和sign进行请求

四、优化

以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。


为了解决这个问题我们不难想到请求时生成一个唯一的标识符,那么服务端在接收到请求之后只需要验证是否已经接受过改请求的标识即可。


不过以上方式还存在一个问题就是服务端要保存那么多的请求标识并不现实,所以我们可以设置一个过期时间,过期了就将标识删除。并让请求的时候携带一个时间戳,超过时间的请求直接打回。


五、代码实现

假设请求接口:test?param1=hello&param2=world

那么前端需要发送请求:test?accesskey=xxx&param1=hello&param2=world&nonce=随机唯一标识&timestamp=当前时间戳&sign=xxx


sign = MD5(“accesskey=xxx&nonce=随机唯一标识¶m1=hello¶m2=world&secretkey=xxx×tamp=当前时间戳”).toUpperCase()


注意请求接口中的参数可以不按顺序,而用于生成sign的字符串中的各个参数必须按照一定的顺序(与后端约定)


后端验签:

@Component
public class ApiVerifyUtil {
    public static final String SECRET_KEY = "secretkey";
    public static final String ACCESS_KEY = "accesskey";
    public static final String TIMESTAMP_KEY = "timestamp";
    public static final String NONCE_KEY = "nonce";
    public static final String SIGN_KEY = "sign";
    private static final HashMap<String, String> KEY_PAIR;
    static {
        KEY_PAIR = new HashMap<>();
        KEY_PAIR.put("app1", "password1");  // 为客户端分配的密钥
        KEY_PAIR.put("app2", "password2");
    }
    @Autowired
    private RedisTemplate<String, String> redisTemplateBean;
    private static RedisTemplate<String, String> redisTemplate;
    @PostConstruct
    public void init() {
        redisTemplate = redisTemplateBean;
    }
    public static final Integer OK = 0;
    public static final Integer PARAMS_ERROR = 1;
    public static final Integer LACK_ACCESSKEY = 2;
    public static final Integer ACCESSKEY_INVALID = 3;
    public static final Integer LACK_NONCE = 4;
    public static final Integer LACK_TIMESTAMP = 5;
    public static final Integer LACK_SIGN = 6;
    public static final Integer REQUEST_TIMEOUT = 7;
    public static final Integer REQUEST_REPEATED = 8;
    public static final Integer REQUEST_INVALID = 9;
    // 超时时间(ms)
    public static final long TIMEOUT = 1000 * 60 * 15;
    public static final String AND = "&";
    public static final String EQUALS = "=";
    public static Integer verify(HashMap<String, String> params) {
        if (params == null || params.isEmpty()) {
            return PARAMS_ERROR;
        }
        // accessKey为空或不合法(即不存在对应的密钥)或请求参数不全则直接打回
        String accessKey, secretKey, timestamp, nonce, sign;
        if ((accessKey = params.get(ACCESS_KEY)) == null) {
            return LACK_ACCESSKEY;
        }
        if ((secretKey = KEY_PAIR.get(accessKey)) == null) {
            return ACCESSKEY_INVALID;
        }
        if ((timestamp = params.get(TIMESTAMP_KEY)) == null) {
            return LACK_TIMESTAMP;
        } else if (Long.parseLong(timestamp) - System.currentTimeMillis() > TIMEOUT) {
            // 超过15分钟
            return REQUEST_TIMEOUT;
        }
        if ((nonce = params.get(NONCE_KEY)) == null) {
            return LACK_NONCE;
        } else {
            Set<String> nonceSet = redisTemplate.opsForSet().members("nonce");
            if (nonceSet != null && nonceSet.contains(nonce)) {
                return REQUEST_REPEATED;
            }
        }
        if ((sign = params.get(SIGN_KEY)) == null) {
            return LACK_SIGN;
        }
        params.remove(SIGN_KEY);
        // 加密需要拼接上密钥
        params.put(SECRET_KEY, secretKey);
        ArrayList<String> keyList = new ArrayList<>(params.keySet());
        // 按顺序构造
        Collections.sort(keyList);
        StringBuilder sb = new StringBuilder();
        for (String key : keyList) {
            sb.append(key).append("=").append(params.get(key)).append("&");
        }
        String newSign = sb.toString();
        newSign = MD5.create().digestHex16(newSign.substring(0, newSign.length() - 1).toUpperCase());
        if (newSign.equals(sign)) {
            redisTemplate.opsForSet().add("nonce", nonce);
            return OK;
        }
        return REQUEST_INVALID;
    }
    public static HashMap<String, String> getParams(HttpServletRequest httpServletRequest) {
        String queryString = httpServletRequest.getQueryString();
        String[] split = queryString.split(AND);
        HashMap<String, String> params = new HashMap<>();
        for (String param : split) {
            params.put(param.split(EQUALS)[0], param.split(EQUALS)[1]);
        }
        return params;
    }
    public static HashMap<String, String> getParams(String queryString) {
        String[] split = queryString.split(AND);
        HashMap<String, String> params = new HashMap<>();
        for (String param : split) {
            params.put(param.split(EQUALS)[0], param.split(EQUALS)[1]);
        }
        return params;
    }
}

六、后续优化

  1. 加入接口被调用的阈值限制,对接口访问频率设置一定阈值,对超过阈值的请求进行屏蔽及预警。
  2. 白名单机制:指定一些可以访问我们暴露接口的域名,不在白名单里面的域名发过来的请求,直接拒绝。
相关文章
|
29天前
|
数据采集 缓存 API
1688 API 实战指南:搞定批发场景的 3 大核心难题(附签名代码与避坑清单)
本文深入解析了1688 API 在批发场景下的三大核心难题及解决方案,涵盖签名机制、商品数据处理与订单同步等高频问题,提供可复用代码与避坑清单,助你高效对接1688平台。
|
22天前
|
数据可视化 测试技术 API
从接口性能到稳定性:这些API调试工具,让你的开发过程事半功倍
在软件开发中,接口调试与测试对接口性能、稳定性、准确性及团队协作至关重要。随着开发节奏加快,传统方式已难满足需求,专业API工具成为首选。本文介绍了Apifox、Postman、YApi、SoapUI、JMeter、Swagger等主流工具,对比其功能与适用场景,并推荐Apifox作为集成度高、支持中文、可视化强的一体化解决方案,助力提升API开发与测试效率。
|
10天前
|
JSON 前端开发 API
如何调用体育数据足篮接口API
本文介绍如何调用体育数据API:首先选择可靠服务商并注册获取密钥,接着阅读文档了解基础URL、端点、参数及请求头,然后使用Python等语言发送请求、解析JSON数据,最后将数据应用于Web、App或分析场景,同时注意密钥安全、速率限制与错误处理。
|
20天前
|
JSON API 数据安全/隐私保护
Python采集淘宝评论API接口及JSON数据返回全流程指南
Python采集淘宝评论API接口及JSON数据返回全流程指南
|
28天前
|
JSON 供应链 监控
1688商品详情API技术深度解析:从接口架构到数据融合实战
1688商品详情API(item_get接口)可通过商品ID获取标题、价格、库存、SKU等核心数据,适用于价格监控、供应链管理等场景。支持JSON格式返回,需企业认证。Python示例展示如何调用接口获取商品信息。
|
22天前
|
存储 监控 前端开发
淘宝商品详情 API 实战:5 大策略提升店铺转化率(附签名优化代码 + 避坑指南)
本文深入解析淘宝商品详情API的核心字段与实战应用,分享如何通过动态定价、库存预警、差评控制等5大策略提升电商转化率。结合300+店铺实战经验,提供优化代码与避坑指南,助力开发者与运营者实现数据驱动的精细化运营。
|
10天前
|
JSON 自然语言处理 监控
淘宝关键词搜索与商品详情API接口(JSON数据返回)
通过商品ID(num_iid)获取商品全量信息,包括SKU规格、库存、促销活动、卖家信息、详情页HTML等。
|
15天前
|
人工智能 API 监控
告别多接口拼凑!阿里云 API 模型聚合实现技术能力协同跃迁
API聚合整合400+国内外AI模型,统一接口、屏蔽差异,降低开发与维护成本,提升效率与系统稳定性,助力开发者高效应对多API调用困境。
132 0
|
17天前
|
人工智能 供应链 API
淘宝API商品详情接口全解析:从基础数据到深度挖掘
淘宝API商品详情接口不仅提供基础数据,更通过深度挖掘实现从数据到洞察的跨越。开发者需结合业务场景选择合适分析方法,利用AI标签、区块链溯源等新技术,最终实现数据驱动的电商业务创新。
|
29天前
|
JSON 算法 API
干货!电商API接口(淘宝商品评论)json数据返回
要获取淘宝商品评论的JSON数据,需通过淘宝开放平台的商品评论API接口实现。以下是详细步骤及代码示例

热门文章

最新文章