文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

研发必备:轻松玩转开放接口API签名和验签

2024-11-30 03:24

关注

1.1、对称加密和非对称加密

 对称加密:加密和解密使用的是同一把密钥。常用的对称加密算法:DES,AES,3DES。

非对称加密:加密和解密使用的是不同的密钥,一把作为公开分享给加密方的叫做公钥,另一把不分享作为解密的私钥。公钥加密的密文只有私钥能进行解密;私钥加密的密文也只有公钥能进行解密。常见的非对称加密算法:RSA,ECC。

总之:在效率上来说,对称加密的效率显然更高,但是非对称加密的安全性更高。所以一般在实际的HTTPS加密过程中,首次连接使用的是公钥加密算法(非对称加密)来传输数据加密所要使用的对称加密的密钥,之后传输中使用的都是对称加密算法。

1.2、生成非对称秘钥对

第三方系统作为调用方(客户端),与接口服务方(服务端)约定好加密算法和客户端名称(clientID),便于在服务方系统中来唯一标识调用方系统。约定好以后,服务方为每一个调用方系统专门生成一个专属的非对称密钥对(RSA密钥对)。私钥颁发给调用方系统(客户端),公钥由服务方持有。

图片

注意:调用方(客户端)系统需要保管好私钥(存到调用方系统的后端)。因为对于服务方系统而言,调用方系统是消息的发送方,其持有的私钥唯一标识了它的身份是服务方系统受信任的调用方。调用方系统的私钥一旦泄露,调用方对原系统毫无信任可言。

1.3 开放接口API

不需要登录凭证就允许被第三方系统调用的接口,必须要考虑接口数据的安全性问题。比如:数据是否被篡改?数据是否已过时?数据是否可以重复提交?等问题。为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。

 1.4、 签名和验签

签名:是第三方系统在调用接口API前,需按照接口API提供方的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名的。

特别注意:为了确保生成签名的处理细节与服务方系统的验签逻辑是匹配的,服务方系统一般都提供jar包或者代码片段给调用方来生成签名,否则可能会因为一些处理细节不一致导致生成的签名是无效的

 验签:接口提供方会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。

图片

二、应用案例

图片

核心代码:


@Slf4j
public class RSAUtils {
    public static final String SIGNATURE_INSTANCE = "SHA256withRSA";  //签名
    public static final String KEYPAIR_INSTANCE = "RSA";  //秘钥类型
    
    public static Map genKey() throws Exception{
        KeyPairGenerator kpg = KeyPairGenerator.getInstance(KEYPAIR_INSTANCE);
        kpg.initialize(1024);
        KeyPair kep = kpg.generateKeyPair();
        PrivateKey pkey = kep.getPrivate();
        PublicKey pubkey = kep.getPublic();
        Map param=new HashMap();
        param.put("publicKey", new String(Base64Utils.encode(pubkey.getEncoded())));
        param.put("privateKey", new String(Base64Utils.encode(pkey.getEncoded())));
        return param;
    }
    
    public static String sign(String content, String privateKey) throws Exception {
        byte[] str= Base64Utils.decode(privateKey.getBytes("UTF-8"));
        PKCS8EncodedKeySpec priPKCS8 = new PKCS8EncodedKeySpec(str);
        KeyFactory keyf = KeyFactory.getInstance(KEYPAIR_INSTANCE);
        PrivateKey priKey = keyf.generatePrivate(priPKCS8);
        java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE);
        signature.initSign(priKey);
        signature.update(content.getBytes("UTF-8"));
        byte[] signed = signature.sign();
        return new String(Base64Utils.encode(signed),"UTF-8");
    }
    
    public static boolean verify(String content, String sign, String public_key)
            throws Exception {
        KeyFactory keyFactory = KeyFactory.getInstance(KEYPAIR_INSTANCE);
        byte[] encodedKey = Base64Utils.decode(public_key.getBytes("UTF-8"));
        PublicKey pubKey = keyFactory.generatePublic(new X509EncodedKeySpec(encodedKey));
        java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE);
        signature.initVerify(pubKey);
        signature.update(content.getBytes("UTF-8"));
        boolean bverify = signature.verify(Base64Utils.decode(sign.getBytes("UTF-8")));
        return bverify;
    }
}

测试内容:

//测试使用
    public static void main(String[] args) throws Exception {
        //1、获取公私钥匙 请求方获取公钥私钥后,传私钥发送请求
        Map param=RSAUtils.genKey();
        log.info("输出的公钥私钥param:"+param);
        String publicKey= (String) param.get("publicKey");
        String privateKey= (String) param.get("privateKey");
        //2、签名 获取私钥,获取请求后对内容进行加标签返回
        String cnotallow="您好!";
        String sign=RSAUtils.sign(content, privateKey);
        log.info("使用私钥输出的标签sign:"+sign);
        //3、验签
//        String cnotallow="您好!";
        boolean verify=RSAUtils.verify(content, sign,  publicKey);
        log.info("使用公钥验签结果verify:"+verify);


    }

测试结果:

图片

请求体内容被篡改了:

图片

来源:程序猿小杨内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯