数据观澜IT资讯
快捷导航
您的位置:首页>系统运维>>研发必备:轻松玩转开放接口API签名和验签 >

研发必备:轻松玩转开放接口API签名和验签

  发布时间:2025-12-07 15:20:57   作者:玩站小弟   我要评论
一、简介开放接口API的签名和验签是一种常见的安全机制,用于确保接口请求的完整性和真实性。1.1、对称加密和非对称加密对称加密:加密和解密使用的是同一把密钥。常用的对称加密算法:DES,AES,3DE 。

一 、研发验签简介

开放接口API的必备签名和验签是一种常见的安全机制  ,用于确保接口请求的轻松I签完整性和真实性。

1.1、玩转对称加密和非对称加密

 对称加密 :加密和解密使用的开放是同一把密钥 。常用的接口对称加密算法 :DES,AES,名和3DES。研发验签

非对称加密 :加密和解密使用的必备是香港云服务器不同的密钥 ,一把作为公开分享给加密方的轻松I签叫做公钥,另一把不分享作为解密的玩转私钥 。公钥加密的开放密文只有私钥能进行解密;私钥加密的密文也只有公钥能进行解密。常见的接口非对称加密算法:RSA ,ECC 。名和

总之 :在效率上来说,研发验签对称加密的效率显然更高,但是建站模板非对称加密的安全性更高。所以一般在实际的HTTPS加密过程中,首次连接使用的是公钥加密算法(非对称加密)来传输数据加密所要使用的对称加密的密钥 ,之后传输中使用的都是对称加密算法 。

1.2、生成非对称秘钥对

第三方系统作为调用方(客户端) ,与接口服务方(服务端)约定好加密算法和客户端名称(clientID),便于在服务方系统中来唯一标识调用方系统。约定好以后  ,源码下载服务方为每一个调用方系统专门生成一个专属的非对称密钥对(RSA密钥对) 。私钥颁发给调用方系统(客户端),公钥由服务方持有。

图片

注意:调用方(客户端)系统需要保管好私钥(存到调用方系统的后端)。因为对于服务方系统而言,调用方系统是消息的发送方 ,其持有的私钥唯一标识了它的身份是服务方系统受信任的调用方。调用方系统的云计算私钥一旦泄露,调用方对原系统毫无信任可言。

1.3 开放接口API

不需要登录凭证就允许被第三方系统调用的接口,必须要考虑接口数据的安全性问题。比如 :数据是否被篡改?数据是否已过时?数据是否可以重复提交 ?等问题。为了防止开放接口被恶意调用 ,开放接口一般都需要验签才能被调用 。

 1.4、 签名和验签

签名 :是第三方系统在调用接口API前,需按照接口API提供方的免费模板规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名的。

特别注意:为了确保生成签名的处理细节与服务方系统的验签逻辑是匹配的 ,服务方系统一般都提供jar包或者代码片段给调用方来生成签名 ,否则可能会因为一些处理细节不一致导致生成的签名是无效的

 验签 :接口提供方会验证签名的有效性 ,只有签名验证有效才能正常调用接口 ,否则请求会被驳回  。亿华云

图片

二 、应用案例

图片

核心代码 :

复制/** * @Description: TODO :使用RSA完成签名验签 * @Author: yyalin * @CreateDate: 2023/3/28 14:37 * @Version: V1.0 */ @Slf4j public class RSAUtils { public static final String SIGNATURE_INSTANCE = "SHA256withRSA"; //签名 public static final String KEYPAIR_INSTANCE = "RSA"; //秘钥类型 /** * 功能描述:RSA公私钥生成器 * @MethodName: genKey * @MethodParam: [] * @Return: Map * @Author: yyalin * @CreateDate: 2023/12/18 15:34 */ public static Map genKey() throws Exception{ KeyPairGenerator kpg = KeyPairGenerator.getInstance(KEYPAIR_INSTANCE); kpg.initialize(1024); KeyPair kep = kpg.generateKeyPair(); PrivateKey pkey = kep.getPrivate(); PublicKey pubkey = kep.getPublic(); Map<String,Object> param=new HashMap<String,Object>(); param.put("publicKey", new String(Base64Utils.encode(pubkey.getEncoded()))); param.put("privateKey", new String(Base64Utils.encode(pkey.getEncoded()))); return param; } /** * 功能描述:RSA签名 * @MethodName: sign * @MethodParam: [content:需要签名的字符串, privateKey:RSA私钥] * @Return: java.lang.String * @Author: yyalin * @CreateDate: 2023/12/18 16:10 */ public static String sign(String content, String privateKey) throws Exception { byte[] str= Base64Utils.decode(privateKey.getBytes("UTF-8")); PKCS8EncodedKeySpec priPKCS8 = new PKCS8EncodedKeySpec(str); KeyFactory keyf = KeyFactory.getInstance(KEYPAIR_INSTANCE); PrivateKey priKey = keyf.generatePrivate(priPKCS8); java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE); signature.initSign(priKey); signature.update(content.getBytes("UTF-8")); byte[] signed = signature.sign(); return new String(Base64Utils.encode(signed),"UTF-8"); } /** * 功能描述:RSA验签 * @MethodName: verify * @MethodParam: [content:原文内容, sign :待验证的签名, public_key :RSA公钥] * @Return: boolean 签名结果 * @Author: yyalin * @CreateDate: 2023/12/18 16:11 */ public static boolean verify(String content, String sign, String public_key) throws Exception { KeyFactory keyFactory = KeyFactory.getInstance(KEYPAIR_INSTANCE); byte[] encodedKey = Base64Utils.decode(public_key.getBytes("UTF-8")); PublicKey pubKey = keyFactory.generatePublic(new X509EncodedKeySpec(encodedKey)); java.security.Signature signature = java.security.Signature.getInstance(SIGNATURE_INSTANCE); signature.initVerify(pubKey); signature.update(content.getBytes("UTF-8")); boolean bverify = signature.verify(Base64Utils.decode(sign.getBytes("UTF-8"))); return bverify; } }1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.58.59.60.61.62.63.64.65.66.67.68.

测试内容 :

复制//测试使用 public static void main(String[] args) throws Exception { //1、获取公私钥匙 请求方获取公钥私钥后 ,传私钥发送请求 Map<String,Object> param=RSAUtils.genKey(); log.info("输出的公钥私钥param :"+param); String publicKey= (String) param.get("publicKey"); String privateKey= (String) param.get("privateKey"); //2、签名 获取私钥,获取请求后对内容进行加标签返回 String cnotallow="您好!"; String sign=RSAUtils.sign(content, privateKey); log.info("使用私钥输出的标签sign:"+sign); //3、验签 // String cnotallow="您好!"; boolean verify=RSAUtils.verify(content, sign, publicKey); log.info("使用公钥验签结果verify :"+verify); }1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.

测试结果:

图片

请求体内容被篡改了:

图片

  • Tag:

相关文章

  • 敏感数据暴露,留给Git的时间只有20秒!

    ​作者 | codingwoman译者 | 布加迪策划 | 言征大家可能都会面临这样直冒冷汗的情形:在使用Git进行版本控制时不小心推送了重要的密钥或超大文件?要知道,在敏感数据公开暴露20秒后,再去
    2025-12-07

  • excel设置数据对比的升降箭头的教程

    excel软件中的功能是很丰富的,满足了用户对表格的编辑需求,当用户在编辑表格时,一般都少不了数据的整理与计算,为了更好的展示数据之间的关系联系,用户直接在表格中插入一些图表直观展示出来,例如用户可以
    2025-12-07

  • 华为荣耀畅玩6A多少钱 华为荣耀畅玩6A参数配置

    在今天下午举办的荣耀;青春4件套”产品发布会上,荣耀总裁赵明在发布荣耀路由X1之后,带来了第一款重磅产品荣耀畅玩6A手机,该机定位于荣耀畅玩5A手机的迭代更新版,2+16GB版本售价799元,3+32
    2025-12-07

  • 安卓手机刷机失败怎么办?

    安卓手机刷机失败怎么办?安卓手机刷机失败无法开机的自救教程为你带来。安卓手机很大的一个乐趣就在于刷机了,然而俗话说的好,常在河边走哪有不湿鞋。经常刷机的机友们,难免会遇到安卓手机刷机失败导致无法开机的
    2025-12-07

  • 微软紧急发布更新,修复ARM设备上的Microsoft365登录问题

    近期Microsoft发布了一个带外(OOB)Windows更新,以解决安装6月补丁更新后出现的导致ARM设备上Azure Active Directory和 Microsoft 365登录问题。OO
    2025-12-07

  • 小米天气附近空气质量怎么查 小米附近空气质量

    ;附近空气质量”入口:当前定位城市页面中,点击右下角;...”,选择附近空气质量。就可以看到了!新版小米天气能将预测降雨时间精确到分钟级,地理位置精确到街道级,准确率高达83%以上。好啦!小米天气附近
    2025-12-07

最新评论