中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

基于簽名算法且簡單安全的API授權機制是什么

發布時間:2022-01-18 16:46:45 來源:億速云 閱讀:186 作者:柒染 欄目:安全技術

基于簽名算法且簡單安全的API授權機制是什么,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

筆者以前在做廣告系統時發現對接的大多數平臺的廣告系統都是以token方式授權接口,而且這個token是一直不變的,由廣告主提供,可以說這就是裸奔的接口,只不過這種接口對安全性要求不高,這只能防止惡意調用以及驗證渠道的身份。

去年筆者寫過一個API統一授權平臺,為內部服務開放接口給第三方系統調用提供統一的授權管理,除了方便管理接口授權外,沒有其它用途,但卻要花成本部署。這應該是我做的一個最無意義的項目了。

今天介紹的API授權機制或許也是使用較為廣泛的一種API接口授權機制,記得筆者以前做微信支付功能的時候,微信提供的支付接口也使用這種方式:簽名。優勢:簡單、不影響性能、不需要額外成本。

這種授權方法的實現邏輯是,授權方為每個接入平臺設置唯一的身份標識(key)以及設置獨立密鑰,其實也就相當于賬號密碼。要求接入方系統在每次發起請求都在請求頭攜帶三個參數,分別是身份標識(key)、發起請求的時間戳、以及簽名,授權方系統在接收到請求時校驗簽名,校驗通過才放行請求。

校驗簽名的過程為,從請求頭獲取key和時間戳,再根據密鑰通過相同算法生成簽名(調用方與授權方使用相同簽名算法),最后對比請求頭獲取的簽名是否相等,如果是則校驗成功,否則校驗失敗。

基于簽名算法的授權方法實現過程如下:

授權方:

1.定義簽名算法,提供簽名生成算法給接入方,并為接入方生成密鑰和身份標識;

2.在項目中攔截需要驗證簽名的接口,從請求頭獲取時間戳和身份標識,根據密鑰和簽名算法生成簽名,將生成的簽名與從請求頭獲取到的簽名比較,如果相同則繼續步驟3,否則拒絕請求;

3.請求時效性校驗,用當前系統時間戳與從請求頭獲取到的時間戳比較,如果請求在有效時間范圍內則放行請求,否則拒絕并響應簽名過期。

接入方:

1.從授權方獲取對接文檔,并向授權方要密鑰和身份標識;

2.根據文檔提供的簽名生成算法封裝簽名方法;

3.在發起請求時,將身份標識、當前時間戳、簽名寫入請求頭。

簽名生成算法可自定義,如將身份標識(key)、時間戳(timestamp)和密鑰拼接在一起后,再采用一種不可逆算法對字符串進行加密生成簽名,如MD5算法。規則越復雜就越不容易被破解。

簽名加上時間戳有什么好處?

一是為簽名添加時效性。授權方系統可根據請求時間戳與系統當前時間戳比較,限定簽名只能在一秒內有效,或者五秒內有效。但要求雙方系統時間必須正確。

二是安全性,如果黑客攔截了你們系統的請求,然后修改請求再發起請求,這期間肯定是要時間的吧,所以當系統接收到篡改后的請求時,簽名的有效期已經過去了。如果改掉請求頭傳遞的時間戳,那么授權方系統生成的簽名就與請求頭傳遞的簽名不一樣了,請求一樣無效。

即便你知道授權方(肉雞)系統的簽名規則,如果你不知道密鑰,也無法生成有效的簽名。并且由于簽名采用非對稱加密算法,要想通過爆力破解出密鑰幾乎是不可能完成的事情。

那為什么用時間戳而不用格式化時間字符串呢?

這可能是考慮時區上的兼容吧,不同機房所在時區不同的話,時間就不同,但時間戳都相同。

為發揮這種授權方式的安全性,首先是生成簽名的規則必須夠復雜,然后是簽名的加密算法要不可逆,千萬不要使用Base64這種算法,最后是密鑰要足夠長足夠復雜,以確保即便在知道簽名生成規則的情況下,也不可能通過暴力破解出密鑰。

簽名規則指的是生成加密之前的簽名字符串的規則,如規則:key+密鑰+時間戳+key+密鑰。假設key為“app”,密鑰為"123",時間戳為"1111111111111",拼接生成的加密前的簽名為"app1231111111111111app123",最后通過加密算法對拼接的字符串加密就能生成最終的簽名。

每個接口都要寫一遍簽名邏輯不麻煩嗎?

不需要。對于授權方,可通過過濾器或者攔截器完成簽名驗證邏輯;對于調用方,使用不同框架有不同的方法,但我們總能想到辦法只寫一次簽名邏輯不是嗎?

關于基于簽名算法且簡單安全的API授權機制是什么問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

api
AI

通渭县| 桐乡市| 津南区| 麻栗坡县| 祁门县| 淮阳县| 筠连县| 丽江市| 澄迈县| 游戏| 贡觉县| 鹤峰县| 榆社县| 东乌| 公安县| 长治市| 贞丰县| 托里县| 栖霞市| 通海县| 昌图县| 佛山市| 石嘴山市| 逊克县| 苏州市| 芜湖县| 喜德县| 雷波县| 镇安县| 余庆县| 富顺县| 溆浦县| 岱山县| 登封市| 扎赉特旗| 依安县| 河间市| 米林县| 会理县| 桦甸市| 汉源县|