这是我参与8月更文挑战的第27天,活动详情查看:8月更文挑战
今天一同事沟通接口服务签名问题,特整理记录一下,便于后期查阅。
一、为什么要签名?
接口服务需要解决的三个问题:
-
请求是否合法:是否是我的信任方
-
请求是否被篡改:是否被第三方劫持并篡改参数
-
防止重复请求(防重放):是否重复请求
二、签名生成规则
那么数据保有方为了控制调用权限,会为应用端分配唯一的 appKey 、 appSecert 和预定义的加密方式。
-
appKey :为保证该调用请求是服务方认可的调用方发出的,保证请求方唯一性(如 test01,如果发现 appKey 不再注册库中则认为该请求方不合法)
-
appSecert :增加暴力解密的难度(通常是一段密文,如 SECERT_A)
预定义加密方式:双方约定好的加密方式(一般为散列非可逆加密,如 MD5、SHA1)
ok,我们设定签名设成规则:
1)将 APPKey 加入值请求参数
http://www.sample.com/openapi/getmessage?appKey=test01&name=spiderman&movie=Spider-Man:Homecoming
复制代码
2)将每个请求参数去除“=”,按 ASCII 升序按“参数 1 参数值 1 参数 2 参数值 2……”的格式组成特定的字符串
appKeytest01movieSpiderManHomecomingnamespiderman
复制代码
3)将秘钥 SECERT_A 加入上述字符串的前后成为:
SECERT_AappKeytest01movieSpiderManHomecomingnamespidermanSECERT_A
复制代码
4)按约定方式(如 md5)加密:
2995c83bbc12b147c9b5645396e5700e6af92b7f
复制代码
5)拼接所有参数,组成 API 请求
第 4 步生成的字符串,就是我们的签名 sign,也作为一个查询参数加入到我们的请求中那么请求就变成了:
www.sample.com/openapi/getmessage?name=spiderman&movie=Spider-Man:Homecoming&sign=2995c83bbc12b147c9b5645396e5700e6af92b7f
复制代码
平台服务器在接到这个请求之后,会将请求包中的所有参数按以上相同的方式进行加密。如果生成的参数签名一致,则签名通过,请求的合法性和请求参数都得到保护,不会被第三方劫持后篡改变为它用。
三、签名中是否需要时间戳
签名的时间戳是防重放(重复请求)的, 只要有个过期时间就好了,例如 1 分钟过期。
可以利用的签名生成规则:参数字典序排序+时间戳+密钥,然后 md5
注意:服务器端生成的签名不是用的服务器时间, 是用的客户端给过来的时间参数(防止时间戳获取不同源)
四、总结
按照以上的签名规则,最重要的秘钥是 appSecert,是每个调用方打死也不能告诉他人的参数,因为它不参与通讯,仅仅作为请求端和服务端两方知道的秘钥保证签名的唯一性。当然了有些平台也提供 IP 白名单服务,可以进一步防止 Open API 被冒用。
- END -
作者:架构精进之路,十年研发风雨路,大厂架构师,CSDN 博客专家,专注架构技术沉淀学习及分享,职业与认知升级,坚持分享接地气儿的干货文章,期待与你一起成长。
关注并私信我回复“01”,送你一份程序员成长进阶大礼包,欢迎勾搭。
Thanks for reading!
