`

App开放接口api安全性—Token签名sign的设计与实现

app 
阅读更多

App开放接口api安全性—Token签名sign的设计与实现

前言

在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多数开放接口安全验证一样,如淘宝的开放接口token验证,微信开发平台token验证都是同理。

签名设计

对于敏感的api接口,需使用https协议

https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。

https协议需要ca证书,一般需要交费。

签名的设计

原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:

时间戳:timestamp

Token令牌:token

然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后更具MD5加密(可以加点盐),全部大写,生成sign签名,这就是所说的url签名算法。然后登陆后每次调用用户信息时,带上sign,timestamp,token参数。

例如:原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 (post和get都一样,对所有参数排序加密)

加上时间戳和token

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc 
然后更具url参数生成sign

最终的请求如

https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2 
其最终的原理是减小明文的暴露次数;保证数据安全的访问。

具体实现如下:

1. api请求客户端想服务器端一次发送用用户认证信息(用户名和密码),服务器端请求到改请求后,验证用户信息是否正确。

如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token----Uid的用户信息关系,以便其他api对token的校验。

如果错误:则返回错误码。



2.服务器设计一个url请求拦截规则

(1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。

(2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该 url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。

(3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。

(4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名 也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样如果无法确保公钥丢失,所以签名只是很大程 度上保证安全)。

(5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。

3.Token和Uid关系维护

对于用户登录我们需要创建token--uid的关系,用户退出时需要需删除token--uid的关系。

签名实现

获取全部请求参数

public static String createSign(Map<String, String> params, boolean encode)
            throws UnsupportedEncodingException {
        Set<String> keysSet = params.keySet();
        Object[] keys = keysSet.toArray();
        Arrays.sort(keys);
        StringBuffer temp = new StringBuffer();
        boolean first = true;
        for (Object key : keys) {
            if (first) {
                first = false;
            } else {
                temp.append("&");
            }
            temp.append(key).append("=");
            Object value = params.get(key);
            String valueString = "";
            if (null != value) {
                valueString = String.valueOf(value);
            }
            if (encode) {
                temp.append(URLEncoder.encode(valueString, "UTF-8"));
            } else {
                temp.append(valueString);
            }
        }

        return MD5Utils.getMD5(temp.toString()).toUpperCase();
    }

 

分享到:
评论

相关推荐

    API接口设计之token、timestamp、sign

    在API接口设计中,安全性和有效性是至关重要的因素。`token`、`timestamp`和`sign`这三者是常见的安全机制,用于确保数据的完整性和防止中间人攻击。下面将详细阐述它们的作用和实现方式。 `Token`,通常指访问令牌...

    如何保证 API 的安全性.pdf

    在设计 API 时,需要确保 RESTful API 的安全性,主要考虑三个大方面:对受限资源的登录授权、对请求的身份认证和对敏感数据的加密。 一、对受限资源的登录授权 在设计 API 时,需要确保对受限资源的登录授权。...

    调用淘宝API实现搜索功能

    - **签名机制**:在发送请求时,需要对请求参数进行签名,以保证数据传输的安全性。签名算法通常包括对参数排序、拼接、哈希等步骤。 2. **搜索功能实现**: - **调用`taobao.item.search` API**:这是实现商品...

    php天翼开放平台短信发送接口实现方法

    2. **时间戳和签名的生成**:为保证接口的安全性,天翼开放平台要求每次请求都携带时间戳(timestamp)和签名(sign)。时间戳用于验证请求的新鲜度,防止重放攻击;签名用于验证请求者的身份,它是根据一定的算法...

    详解淘宝H5 sign加密算法

    淘宝H5 Sign加密算法是淘宝为了确保H5页面与服务器之间的通信安全而设计的一种机制。在H5环境中,由于JavaScript代码容易被查看和篡改,直接在代码中使用敏感信息如AppSecret会有较大风险。因此,淘宝的Mtop(Mobile...

    Node登录权限验证token验证实现的方法示例

    1. **无状态请求**:在RESTful API设计中,token允许服务端不存储会话状态,每个请求携带足够的认证信息。 2. **保持用户登录状态**:用户登录后,通过token在后续请求中证明其身份,避免频繁登录。 3. **第三方登录...

    小猪短信接口文档V1.0.doc

    - `app_str`:随机字符串,长度在5~8位之间,增加请求的安全性。 - `sign`:签名,用于验证请求的完整性和真实性。 5. **签名算法**: - 签名的目的是防止请求被篡改。开发者需要按照指定的步骤生成签名: - 将...

    nest框架的token登录,以及token校验

    这样,当用户通过登录接口获取到JWT后,后续的API请求就需要在Authorization头中携带此JWT,否则会收到未授权的响应。 总结起来,Nest.js中的JWT登录和校验流程包括:用户提交凭证,服务器验证凭证,生成JWT,将JWT...

    Laravel开发-docusign

    DocuSign是一个全球领先的电子签名服务提供商,它允许用户在线签署文档,提供安全、合规的签名流程。DocuSign提供了RESTful API,开发者可以将其集成到各种应用程序中,包括基于Laravel的Web应用。 **二、Laravel 5...

    第三方(微信、微博、QQ)分享和登录

    1. **安全问题**:存储AppID、AppSecret等敏感信息时,应确保数据传输和存储的安全,避免泄露。 2. **用户体验**:设计友好的用户界面,简化登录和分享流程,提高用户满意度。 3. **权限控制**:合理设定分享和登录...

    JAVA微信支付流程图以及业务流程说明

    - **参数设置**:统一下单接口需要的参数如total_fee(总金额,单位为分),trade_type(指定为NATIVE表示扫码支付),time_start和time_expire(订单有效期),以及签名sign的生成,需要按照微信支付的规范进行。...

    oidc-tester-app:实施OpenID Connect的应用程序,用于与Authelia进行测试

    oidc-tester-app是一个专为测试OpenID Connect (OIDC) API而设计的应用程序,它主要与Authelia集成,帮助用户验证和调试Authelia的OIDC实现。OpenID Connect是OAuth 2.0协议的一个身份层,允许服务提供商提供安全的...

    08、单点登录与社交登录1

    【单点登录与社交登录】 单点登录(Single Sign-On,简称 SSO)是一种让用户在多个相关联的应用系统中只需一次登录即可访问所有系统的身份验证机制。...理解并正确运用这些技术,可以提高应用的安全性和用户体验。

    带有身份验证的节点Api:仅使用JSON Web令牌(jwt)进行实践

    JSON Web Token(JWT)是一种广泛使用的轻量级身份验证机制,...然而,值得注意的是,虽然JWT提供了许多优势,但也需要妥善处理密钥管理、令牌安全性(如防止令牌窃取)以及令牌刷新等问题,以确保系统的整体安全性。

    JWT Habdbook

    JSON Web Tokens(JWT)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。它既紧凑又自包含,使得信息在各种各样的渠道中传输时,都能被验证和信任。 一、什么是JSON Web Token? JWT是一种编码的...

    ionic-auth-app:App base con 身份验证令牌

    在“ionic-auth-app-master”中,如果没有这样的功能,可以考虑加入以提高用户体验和安全性。 6. **Error Handling**:当身份验证失败或令牌无效时,应用应能够优雅地处理这种情况。这可能包括清除令牌,显示错误...

    node-auth-api

    这些部分都是Base64编码的JSON对象,确保数据在传输过程中的安全性。 1. **头部(Header)**:包含令牌类型(typ)和算法(alg),通常使用HS256(HMAC SHA-256)算法。 2. **载荷(Payload)**:包含声明(claims...

    nodejs-jwt-implementation:Node.js中的JSON Web令牌实现

    JSON Web Token(JWT)是一种广泛使用的身份验证和授权机制,特别是在Web应用和API中。Node.js作为轻量级、高性能的JavaScript运行环境,是开发此类应用的理想选择。本篇文章将深入探讨如何在Node.js中实现JWT,以及...

Global site tag (gtag.js) - Google Analytics