项目API接口鉴权流程总结
权益需求对接中,公司跟第三方公司合作,有时我们可能作为甲方,提供接口给对方,有时我们也作为乙方,调对方接口,这就需要API使用签名方法(Sign)对接口进行鉴权。每一次请求都需要在请求中包含签名信息, 以验证用户身份,不然任何人都可以调我们公司的接口,会导致安全隐患。
思路:在接口请求参数都带上appKey,签名sign和时间戳timestamp等字段。
假如我们是甲方时,那么需要让乙方在目标网站上申请或者给乙方提供安全凭证(appKey和appSecret),其中 appKey是用于标识 API 调用者的身份,appSecret是用于加密签名字符串和服务器端验证签名字符串的密钥。appSecret必须严格保管。避免泄露。
乙方(对方)需要做
根据甲方(我们)提供appSecret和需要传的特定参数生成的签名sign,最后在接口的url参数拼接上,签名sign,时间戳timestamp和appKey等参数。
具体步骤如下:
1. 对参数进行排序和拼接
首先对请求参数按参数名做字典序升序(自然顺序)排列,然后格式化特定的形式,例如 k=v的形式,同时参数间使用"&"拼接在一起,或者kv的形式,不用"&"拼接的形式(注意不包括签名Sign参数,v为原始值而非url编码后的值)。
示例 采用k=v的形式,同时参数间使用"&"拼接在一起
appkey=00159&from=51916&phone=13612549848&thirdOrderId=768169123×tamp=2020-10-22 17:39:08&ver=3.4
2. 使用特定的加密算法进行加密(Md5,SHA),再进行大小写格式化等操作
String sig = MD5Utils.EncoderByMd5(appSecret + “参数进行排序和拼接后的字符串”+ appSecret).toLowerCase().substring(0, 30);
3. url拼接签名sign,时间戳timestamp和appKey等参数
StringBuilder stringBuilder = new StringBuilder(url); if (url.contains("?")) { stringBuilder.append("&client_id=").append(clientId) .append("&ext_user_id=").append(phead.getUserId()) .append("&sign=").append(sign) .append("×tamp=").append(timestamp) .append("&phone=").append(phone) .append("&callback_info=").append(phead.getUserId()); }
项目实战
示例1
示例2
我们(甲方)要做
拿到对方请求我们传过来的参数中的签名sign和appKey和时间戳等字段,然后通过appKey去获得对应的密码appSecret(这两个参数appKey和appSecret是我们定义后给乙方的),我们通过和乙方一样的方式生成签名sign2,最后比较对方传过来的sign值和我们以同样方式生成得到的sign2是不是一致,一致签名验证就通过,不一致签名就是失败;
注意:有了签名,基本上数据的合法性就得到了保障。只要坏人没有秘钥就无法伪造调用方的请求。但坏人依然可以截取调用方的请求,不停的发送给服务端,造成服务端资源紧张、数据错误等不好的结果。为了防止同样的请求多次发送,我们往往还要求调用方提供一个唯一的序列号,比如UUID、时间戳之类的。服务端需要在收到请求的第一时间校验该唯一序列号。我们可以通过spring的切面或者拦截器来做。
参考/好文
https://www.web3.xin/index/article/156.html
