Golang做API开发离不开签名验证,如何设计 ?

开发 前端
在API开发中,签名验证是一种常见的安全措施,用于确保请求的完整性和来源的可靠性。以下是设计一个签名验证机制的步骤和示例代码。

在API开发中,签名验证是一种常见的安全措施,用于确保请求的完整性和来源的可靠性。以下是设计一个签名验证机制的步骤和示例代码。

设计思路

  1. 密钥管理:为每个客户端分配一个唯一的API密钥和API密钥。
  2. 签名生成:客户端在请求API时,使用预定义的算法生成签名,并将签名和其他必要参数(如时间戳、随机数等)一起发送到服务器。
  3. 签名验证:服务器接收到请求后,根据相同的算法重新生成签名,并与请求中的签名进行对比,如果匹配,则验证通过。

签名生成与验证步骤

  1. 客户端:
  • 生成时间戳和随机数。
  • 将API密钥、时间戳、随机数、请求参数等按照预定义的顺序拼接成字符串。
  • 使用API密钥对字符串进行哈希运算(如HMAC-SHA256)生成签名。
  • 将签名、时间戳、随机数等信息作为请求参数发送到服务器。
  1. 服务器:
  • 从请求中提取签名、时间戳、随机数等信息。
  • 验证时间戳是否在合理范围内(防止重放攻击)。
  • 根据相同的算法重新生成签名。
  • 对比服务器生成的签名和请求中的签名,如果匹配,则验证通过。

示例代码

以下是一个简单的Go语言实现,用于演示API签名验证。

客户端代码
package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    signature := hex.EncodeToString(mac.Sum(nil))
    return signature
}

func main() {
    apiKey := "your_api_key"
    apiSecret := "your_api_secret"
    timestamp := strconv.FormatInt(time.Now().Unix(), 10)
    nonce := "random_nonce"

    params := url.Values{}
    params.Set("param1", "value1")
    params.Set("param2", "value2")

    signature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    req, err := http.NewRequest("GET", "http://example.com/api", nil)
    if err != nil {
        fmt.Println("Error creating request:", err)
        return
    }

    query := req.URL.Query()
    query.Add("apiKey", apiKey)
    query.Add("timestamp", timestamp)
    query.Add("nonce", nonce)
    query.Add("signature", signature)
    req.URL.RawQuery = query.Encode()

    client := &http.Client{}
    resp, err := client.Do(req)
    if err != nil {
        fmt.Println("Error making request:", err)
        return
    }
    defer resp.Body.Close()

    fmt.Println("Response status:", resp.Status)
}
服务器端代码
package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

const (
    apiKey    = "your_api_key"
    apiSecret = "your_api_secret"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    return hex.EncodeToString(mac.Sum(nil))
}

func validateSignature(r *http.Request) bool {
    apiKey := r.URL.Query().Get("apiKey")
    timestamp := r.URL.Query().Get("timestamp")
    nonce := r.URL.Query().Get("nonce")
    signature := r.URL.Query().Get("signature")

    if apiKey != apiKey {
        return false
    }

    timeInt, err := strconv.ParseInt(timestamp, 10, 64)
    if err != nil {
        return false
    }

    if time.Now().Unix()-timeInt > 300 {
        return false
    }

    params := r.URL.Query()
    params.Del("signature")

    expectedSignature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    return hmac.Equal([]byte(signature), []byte(expectedSignature))
}

func handler(w http.ResponseWriter, r *http.Request) {
    if !validateSignature(r) {
        http.Error(w, "Invalid signature", http.StatusUnauthorized)
        return
    }

    fmt.Fprintf(w, "Request is authenticated")
}

func main() {
    http.HandleFunc("/api", handler)
    http.ListenAndServe(":8080", nil)
}

代码说明

  • 客户端:
  • generateSignature函数生成签名。
  • 使用当前时间戳和随机数生成签名,并将签名和其他必要参数添加到请求中。
  • 服务器端:
  • generateSignature函数用于重新生成签名。
  • validateSignature函数验证请求中的签名,包括检查时间戳是否在合理范围内,防止重放攻击。
  • handler函数处理请求并验证签名,如果验证通过,则返回成功响应。

通过这种方式,API请求可以通过签名验证机制确保请求的完整性和来源的可靠性,有效防止重放攻击和篡改。

责任编辑:武晓燕 来源: Go语言圈
相关推荐

2021-09-02 00:15:01

区块链农业技术

2020-03-12 12:55:19

扩展插件浏览器

2015-10-13 10:41:39

大数据厚数据

2021-05-16 07:44:01

Hadoop大数据HDFS

2013-08-05 11:15:45

GoogleNexus系列

2015-02-03 10:32:19

软件定义存储SDS混合云

2011-04-29 10:53:35

投影幕

2021-07-19 22:41:57

人工智能数据创业

2020-04-28 10:35:14

数据安全

2021-09-03 08:44:51

内核模块Linux社区

2016-09-06 17:21:00

APM听云用户体验

2013-09-23 16:15:15

轻应用超级App何小鹏

2016-05-03 15:12:35

数据科学

2021-08-04 22:59:19

区块链汽车技术

2024-11-05 19:10:17

2015-08-26 14:22:45

设计师HTML动画工具

2015-06-04 10:05:30

大数据分析认知计算沃森

2010-03-12 13:59:52

无线接入技术

2023-05-05 16:14:57

开源非代码
点赞
收藏

51CTO技术栈公众号