研发必备:轻松玩转开放接口API签名和验签

安全 应用安全
在效率上来说,对称加密的效率显然更高,但是非对称加密的安全性更高。所以一般在实际的HTTPS加密过程中,首次连接使用的是公钥加密算法(非对称加密)来传输数据加密所要使用的对称加密的密钥,之后传输中使用的都是对称加密算法。

一、简介

开放接口API的签名和验签是一种常见的安全机制,用于确保接口请求的完整性和真实性。

1.1、对称加密和非对称加密

 对称加密:加密和解密使用的是同一把密钥。常用的对称加密算法:DES,AES,3DES。

非对称加密:加密和解密使用的是不同的密钥,一把作为公开分享给加密方的叫做公钥,另一把不分享作为解密的私钥。公钥加密的密文只有私钥能进行解密;私钥加密的密文也只有公钥能进行解密。常见的非对称加密算法:RSA,ECC。

总之:在效率上来说,对称加密的效率显然更高,但是非对称加密的安全性更高。所以一般在实际的HTTPS加密过程中,首次连接使用的是公钥加密算法(非对称加密)来传输数据加密所要使用的对称加密的密钥,之后传输中使用的都是对称加密算法。

1.2、生成非对称秘钥对

第三方系统作为调用方(客户端),与接口服务方(服务端)约定好加密算法和客户端名称(clientID),便于在服务方系统中来唯一标识调用方系统。约定好以后,服务方为每一个调用方系统专门生成一个专属的非对称密钥对(RSA密钥对)。私钥颁发给调用方系统(客户端),公钥由服务方持有。

图片图片

注意:调用方(客户端)系统需要保管好私钥(存到调用方系统的后端)。因为对于服务方系统而言,调用方系统是消息的发送方,其持有的私钥唯一标识了它的身份是服务方系统受信任的调用方。调用方系统的私钥一旦泄露,调用方对原系统毫无信任可言。

1.3 开放接口API

不需要登录凭证就允许被第三方系统调用的接口,必须要考虑接口数据的安全性问题。比如:数据是否被篡改?数据是否已过时?数据是否可以重复提交?等问题。为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。

 1.4、 签名和验签

签名:是第三方系统在调用接口API前,需按照接口API提供方的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名的。

特别注意:为了确保生成签名的处理细节与服务方系统的验签逻辑是匹配的,服务方系统一般都提供jar包或者代码片段给调用方来生成签名,否则可能会因为一些处理细节不一致导致生成的签名是无效的

 验签:接口提供方会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。

图片图片

二、应用案例

图片图片

核心代码:

/**
 * @Description: TODO:使用RSA完成签名验签
 * @Author: yyalin
 * @CreateDate: 2023/3/28 14:37
 * @Version: V1.0
 */
@Slf4j
public class RSAUtils {
    public static final String SIGNATURE_INSTANCE = "SHA256withRSA";  //签名
    public static final String KEYPAIR_INSTANCE = "RSA";  //秘钥类型
    /**
     * 功能描述:RSA公私钥生成器
     * @MethodName: genKey
     * @MethodParam: []
     * @Return: Map
     * @Author: yyalin
     * @CreateDate: 2023/12/18 15:34
     */
    public static Map genKey() throws Exception{
        KeyPairGenerator kpg = KeyPairGenerator.getInstance(KEYPAIR_INSTANCE);
        kpg.initialize(1024);
        KeyPair kep = kpg.generateKeyPair();
        PrivateKey pkey = kep.getPrivate();
        PublicKey pubkey = kep.getPublic();
        Map<String,Object> param=new HashMap<String,Object>();
        param.put("publicKey", new String(Base64Utils.encode(pubkey.getEncoded())));
        param.put("privateKey", new String(Base64Utils.encode(pkey.getEncoded())));
        return param;
    }
    /**
     * 功能描述:RSA签名
     * @MethodName: sign
     * @MethodParam: [content:需要签名的字符串, privateKey:RSA私钥]
     * @Return: java.lang.String
     * @Author: yyalin
     * @CreateDate: 2023/12/18 16:10
     */
    public static String sign(String content, String privateKey) throws Exception {
        byte[] str= Base64Utils.decode(privateKey.getBytes("UTF-8"));
        PKCS8EncodedKeySpec priPKCS8 = new PKCS8EncodedKeySpec(str);
        KeyFactory keyf = KeyFactory.getInstance(KEYPAIR_INSTANCE);
        PrivateKey priKey = keyf.generatePrivate(priPKCS8);
        java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE);
        signature.initSign(priKey);
        signature.update(content.getBytes("UTF-8"));
        byte[] signed = signature.sign();
        return new String(Base64Utils.encode(signed),"UTF-8");
    }
    /**
     * 功能描述:RSA验签
     * @MethodName: verify
     * @MethodParam: [content:原文内容, sign:待验证的签名, public_key:RSA公钥]
     * @Return: boolean 签名结果
     * @Author: yyalin
     * @CreateDate: 2023/12/18 16:11
     */
    public static boolean verify(String content, String sign, String public_key)
            throws Exception {
        KeyFactory keyFactory = KeyFactory.getInstance(KEYPAIR_INSTANCE);
        byte[] encodedKey = Base64Utils.decode(public_key.getBytes("UTF-8"));
        PublicKey pubKey = keyFactory.generatePublic(new X509EncodedKeySpec(encodedKey));
        java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE);
        signature.initVerify(pubKey);
        signature.update(content.getBytes("UTF-8"));
        boolean bverify = signature.verify(Base64Utils.decode(sign.getBytes("UTF-8")));
        return bverify;
    }
}

测试内容:

//测试使用
    public static void main(String[] args) throws Exception {
        //1、获取公私钥匙 请求方获取公钥私钥后,传私钥发送请求
        Map<String,Object> param=RSAUtils.genKey();
        log.info("输出的公钥私钥param:"+param);
        String publicKey= (String) param.get("publicKey");
        String privateKey= (String) param.get("privateKey");
        //2、签名 获取私钥,获取请求后对内容进行加标签返回
        String cnotallow="您好!";
        String sign=RSAUtils.sign(content, privateKey);
        log.info("使用私钥输出的标签sign:"+sign);
        //3、验签
//        String cnotallow="您好!";
        boolean verify=RSAUtils.verify(content, sign,  publicKey);
        log.info("使用公钥验签结果verify:"+verify);


    }

测试结果:

图片图片

请求体内容被篡改了:

图片图片

责任编辑:武晓燕 来源: 程序猿小杨
相关推荐

2020-07-20 07:46:01

程序员加签验签

2020-04-14 11:43:54

Python加密解密授权认证

2021-12-27 16:20:45

鸿蒙HarmonyOS应用

2023-03-10 18:34:31

2011-09-21 14:17:12

Google+

2013-07-24 10:10:57

天翼开放平台WEB短信API

2011-06-15 09:47:56

微软云计算Microsoft

2013-10-16 09:10:12

2021-12-07 00:10:25

C# 微信支付

2021-11-10 16:08:45

鸿蒙HarmonyOS应用

2020-09-24 10:57:12

编程函数式前端

2021-11-10 16:07:01

鸿蒙HarmonyOS应用

2023-08-18 14:39:02

2010-07-09 12:09:34

IT运维Mocha BSM摩卡软件

2022-07-19 11:30:29

接口安全

2010-09-01 10:09:32

CSS样式

2020-03-23 14:40:44

腾讯会议腾讯云开放API

2023-08-16 08:00:39

API网页端音频录制

2020-03-04 10:27:17

GitGo语言云计算

2023-11-07 08:25:34

API接口参数验证
点赞
收藏

51CTO技术栈公众号